我是IDS签名调整的新手。因此在学习签名时;在签名中,我遇到了“内容”部分,签名将基于该部分触发警报。现在,当我看到内容中的某些内容时(下面的示例);如何解密相同的内容?
内容:“ x | 00 | p | 00 | _ | 00 | c | 00 | m | 00 | d | 00 | s | 00 | h | 00 | e | 00 | l | 00 | l | 00 | “
答案 0 :(得分:0)
如果您收到内容匹配为|00 00|的警报
这意味着其字节00 00中包含的网络数据包数据。
|47 45 54|将是数据包中GET的内容匹配。
答案 1 :(得分:0)
如果您是Suricata,那么documentation提到应该在管道内放置任何十六进制值。
要在签名内容中写入例如http://,您需要 应该这样写:content:“ http | 3A | //”;如果使用十六进制 签名中的符号,请确保始终将其放在管道之间。 否则,该符号将按字面意义作为内容的一部分。
与此相关,您可以解密内容在多个位置的管道中都具有00。 因此,内容字符串实际上会转换为“ xp_cmdshell”
如果要找出数据包在哪里匹配,则需要从警报中提供更多详细信息。