这个问题是关于Detecting exe 32/64bit的问题。在网络流程中,exe下载是否仍会为每个数据包维护此信息?
如何在snort中利用P E 00 00 64 86或P E 00 00 4C 01逻辑?我是否必须使用某种类型的流重组器,如sn5附带的stream5将数据包映射到文件然后查找内容?
在开箱即用的snort中尝试此操作时,我收到了下载的exe的每个数据包的警报。我试图理解文件数据如何分成数据包,我们如何验证单个数据包是否包含作为exe(32/64位)一部分的数据?
答案 0 :(得分:0)
找出针对exe下载的每个数据包触发的警报。 Snort默认使用stream5开箱即用,并在您发出内容匹配规则时为您重新组装所有数据包。
因此发生的事情是,每次原始数据包进入时,都会使用流中较早的数据包重新组合,并与规则中的属性进行匹配。因此,每当数据包进入时,都会重复这种情况。
在snort.conf中设置stream5_global:show_rebuilt_packets会在重建时显示数据包。您还可以尝试使用snort -A cmg运行snort来查看日志的来源,即在每个阶段查看已组装的数据包。
然而,仍然不清楚snort如何与数据雕刻工具轻松集成以从数据包捕获中提取文件,以及是否可以内联完成。