Security 检测ZIP文件中单个JS或VBS文件的Snort规则
如何使用Snort规则查找只包含单个.js或.vbs文件的正在下载的ZIP文件 考虑使用pcre->^PK.+(js | js | js | js) 流量示例:Security 检测ZIP文件中单个JS或VBS文件的Snort规则,security,snort,Security,Snort,如何使用Snort规则查找只包含单个.js或.vbs文件的正在下载的ZIP文件 考虑使用pcre->^PK.+(js | js | js | js) 流量示例: HTTP/1.1200正常 日期:2017年4月19日星期三19:46:43 GMT 服务器:Apache X-Powered-By:PHP/5.3.29 缓存控制:无缓存,无存储,最大年龄=0,必须重新验证 过期时间:1935年1月8日星期二00:00:00 GMT Pragma:没有缓存 内容处置:附件filename=“docum
HTTP/1.1200正常
日期:2017年4月19日星期三19:46:43 GMT
服务器:Apache
X-Powered-By:PHP/5.3.29
缓存控制:无缓存,无存储,最大年龄=0,必须重新验证
过期时间:1935年1月8日星期二00:00:00 GMT
Pragma:没有缓存
内容处置:附件
filename=“document\uuuuu917\u8324\u94\u Apr\uuuuuuu19\uuuuuuuuuu 2017\u 09\uuuuuu44\uuuuuuuuuuuu27.zip” 内容传输编码:二进制
保持活动状态:超时=5,最大=100
连接:保持活动状态
传输编码:分块
内容类型:应用程序/八位字节流
4295b
PK…JV…M(…G.)。。
内容:“|0D 0A 0D 0A 50 4B |”…PK匹配
PCRE的i
选项表示忽略区分大小写
和file\u data
选项检查http响应。很抱歉,我无法回答这个问题,但只是想让您知道,您可以选择code,然后按CTRL+K。这会将所选文本格式化为code。或者,很难-在每行之前手动添加4个空格。
alert tcp any any -> any any (msg:"TEST"; file_data; content:"|0D 0A 0D 0A 50 4B|"; nocase; pcre:"/\x0D\x0A\x0D\x0APK.+?\.js/i"; sid:1000000;)