这个问题参考了Detecting exe 32/64bit问题。在网络流中,exe 下载是否仍会为每个数据包维护此信息?
如何在 snort 中利用 PE 00 00 64 86 或 PE 00 00 4C 01 逻辑?我是否必须使用某种流重组器(如 snort 附带的 stream5)将数据包映射到文件然后查找内容?
在开箱即用的 snort 中尝试此操作时,我收到了有关下载的每个 exe 数据包的警报。我试图了解文件数据是如何分成数据包的,我们如何验证单个数据包是否包含属于 exe(32/64 位)一部分的数据?
找出每个 exe 下载数据包触发的警报。Snort 默认使用 stream5,并在您发布内容匹配规则时为您重新组装所有数据包。
因此发生的情况是,每次有原始数据包进来时,它都会与流中较早的数据包重新组合,并与规则中的属性相匹配。因此,每次数据包进入时都会重复此操作。
在 snort.conf 中设置 stream5_global: show_rebuilt_packets 将在重建数据包时显示它们。您还可以尝试使用 snort -A cmg .. 运行 snort 以查看日志的来源,即查看每个阶段的组装数据包。
然而,仍然不清楚 snort 如何轻松与数据雕刻工具集成以从数据包捕获中提取文件,以及是否可以内联完成。