个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
24
4
我已经编写了一个签名来匹配 http 响应 中的小型 iframe。
这工作正常,我在 signatures.log 和 notice.log 中得到一个条目。
我想提取任何命中此 sig 的文件,以便我可以仔细查看,如果我查看 signature_match 事件,我可以看到 http数据变量中的内容-
我应该只将这些数据输出到文件中,还是有办法使用 file_extract 功能正确提取文件。
我想用更多的 sigs 来扩展它,所以文件提取是我的首选方法。
我应该捕获 sig_match 事件然后“调用”文件提取还是捕获 file_new 事件并以某种方式匹配 sig?
最佳答案
您可以做一些简单但有警告的事情。这将仅匹配文件的前 4096 个字节,方法是使用 fa_file 记录提供的 bof_buffer(文件缓冲区开始)。我们可以使用 file_sniff 事件查看该记录,看看是否可以在那里找到您要查找的内容。
event file_sniff(f: fa_file, meta: fa_metadata)
{
if ( /<[iI][fF][rR][aA][mM][eE][[:blank:]]/ in f$bof_buffer )
{
Files::add_analyzer(f, Files::ANALYZER_EXTRACT);
}
}
让这个警告变得不那么重要的是,您实际上没有机会在 file_sniff 事件之后提取完整的文件。 Bro 总是以流式方式对数据进行操作,它不会永远将数据保存在内存中,因此我们只维护这个小缓冲区,以便我们在将文件刷新到分析器(例如文件提取分析器)之前对文件做出决定.
您实际上是想提取整个文件还是只是想提取 iframe 的 url?
关于bro - 提取匹配兄弟签名的文件,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/37894765/
24
4
0
我正在尝试在我运行 Ubuntu 16.04 的机器上安装 Bro,但在 bro 启动时我遇到了以下问题。它有多个错误,请协助解决这些错误。 [BroControl] > start starting
我已经编写了一个签名来匹配 http 响应 中的小型 iframe。 这工作正常,我在 signatures.log 和 notice.log 中得到一个条目。 我想提取任何命中此 sig 的文件,以
所以现在我正在研究使用 AST 的 BOR-CSET 约束集和 BRO 约束集。我看了书和网上看,但我还是不太明白它们之间的区别,它们对我来说似乎是一样的,谁能更清楚地解释它们之间的区别是什么? 最佳
我使用以下 tcpdum 命令捕获了一些数据。 tcpdump -i eth1 -w eth1_data.pcap -X 之后,我运行了以下命令以使用 Bro 分析 eth1_data.pcap 文件
如何访问 Bro conn.log 中的列名称,以便查看字段的名称? 最佳答案 如果您输入: head -5 conn.log 您将看到列名称和类型。然后您可以使用 bro-cut 提取数据: c
我正在尝试从我拥有的 PCAP 文件生成 software.log 文件,默认的 bro -r my.pcap 似乎会生成一些日志文件,但不会生成此日志文件。在谷歌搜索后,在最后添加 local 应该
关闭。这个问题不符合Stack Overflow guidelines .它目前不接受答案。 我们不允许在 Stack Overflow 上提出有关通用计算硬件和软件的问题。您可以编辑问题,使其成为
我正在尝试查询 MySQL 数据库 statement = conn.createStatement(); String sql = "select * from file_post where ga
我一直在尝试安装 bro pages ,但我碰壁了。 我已经成功升级到 Ruby 2.1.0: craig@Craig-loaf:~$ ruby -v ruby 2.1.0p0 (2013-12-25
我是一名优秀的程序员,十分优秀!