我编写了这个兄弟脚本来从 Pcap 文件中提取所有文件。问题是它没有提取所有文件。我有一个使用 Wireshark 分析的 http.cap,然后我将 Http 对象导出为 2 个 .html 文件。我的兄弟脚本仅提取其中一个文件。
@load base/files/extract
global hash_number = 100;
event bro_init()
{
#Log::disable_stream(Conn::LOG);
mkdir("extract_files");
}
event file_sniff(f: fa_file, meta: fa_metadata)
{
local ext = "";
if ( meta?$mime_type )
ext = split_string(meta$mime_type, /\//)[1];
local hash = f$seen_bytes % hash_number;
mkdir(fmt("./extract_files/%d", hash));
local file_path = fmt("%d/%s-%s.%s", hash, f$source, f$id, ext);
Files::add_analyzer(f, Files::ANALYZER_EXTRACT, [$extract_filename=file_path]);
}
我这样称呼我的兄弟脚本:bro -r http.cap myscript.bro
. 我使用打印功能调试了 file_sniff 事件,并且只跟踪了 2 个 .html 文件中的 1 个。Bro平台有问题还是我错过了什么?
这是我的 pcap 文件。
我也尝试使用这个其他 pcap 文件并得到相同的结果。在 Wireshark 中,我得到了一些图像、js 和 http 文件,而 bro 只提取了 2 个图像。