この質問は、質問Detecting exe 32/64bitに関連しています。ネットワーク フローでは、exe ダウンロードはパケットごとにこの情報を維持しますか?
Snort で PE 00 00 64 86 または PE 00 00 4C 01 ロジックを使用するにはどうすればよいですか? Snort に付属している stream5 のような何らかのストリーム再アセンブラーを使用して、パケットをファイルにマップし、コンテンツを探す必要がありますか?
箱から出してすぐにこれを試すと、ダウンロードされたexeのすべてのパケットに対してアラートが表示されました。ファイル データがどのようにパケットに分割されているかを理解しようとしています。また、個々のパケットに exe (32/64 ビット) の一部であるデータが含まれていることを確認するにはどうすればよいですか?
exeダウンロードの各パケットに対してトリガーされるアラートを把握しました。Snortは、デフォルトでstream5を使用し、コンテンツ一致ルールを発行すると、すべてのパケットを再構成します。
したがって、何が起こっていたのかというと、生のパケットが着信するたびに、ストリーム内の以前のパケットで再アセンブルされ、ルールのプロパティと一致するということでした。したがって、これはパケットが着信するたびに繰り返されます。
stream5_globalの設定:snort.confのshow_rebuilt_packetsは、再構築されたパケットを表示します。また、snort -A cmg ..を指定してsnortを実行して、ログがどこから来ているかを確認することもできます。つまり、各段階でアセンブルされたパケットを確認します。
ただし、snortをデータカービングツールと簡単に統合して、パケットキャプチャからファイルを抽出する方法と、インラインで実行できるかどうかはまだ明らかではありません。