我已经写了一个签名来匹配 small iframesin http responses。
这工作正常,我得到一个条目signatures.logand notice.log。
我想提取任何遇到此问题sig的文件,以便仔细查看,如果查看signature_match事件,我可以看到http数据变量中的内容 -
我应该只是将这些数据输出到文件中,还是有办法使用该file_extract功能正确提取文件。
我想对此进行更多扩展,sigs因此文件提取是我的首选方法。
我应该捕捉sig_match事件然后“调用”文件提取还是捕捉 file_new 事件并以某种方式匹配sig?
你可以做一些简单但有警告的事情。这将只匹配文件的前 4096 个字节,方法是使用记录中提供的 bof_buffer(文件缓冲区开始)fa_file。我们可以查看该file_sniff事件的记录,看看是否可以在那里找到您要查找的内容。
event file_sniff(f: fa_file, meta: fa_metadata)
{
if ( /<[iI][fF][rR][aA][mM][eE][[:blank:]]/ in f$bof_buffer )
{
Files::add_analyzer(f, Files::ANALYZER_EXTRACT);
}
}
使这一点的警告变得不那么重要的是,您实际上并没有机会在file_sniff事件发生后提取完整的文件。Bro 总是以流式方式处理数据,它不会永远将数据保存在内存中,所以我们只维护这个小缓冲区,以便我们在将文件刷新到分析器(例如文件提取分析器)之前对文件做出决定.
您实际上是要提取整个文件还是只是要提取 iframe 的 url?