用于检测网络流中的exe的Snort配置

Question

这个问题是关于问题Detecting exe 32/64bit的。在网络流中，exe下载是否仍会为每个数据包保留此信息？

如何在snort中使用PE00006486或PE00004C01逻辑？我是否必须使用某种流重组程序，比如snort附带的stream5，将数据包映射到文件，然后查找内容？

在snort中进行开箱即用的尝试时，我收到了有关所下载的每个exe包的警报。我正在尝试理解如何将文件数据划分为数据包，以及我们如何验证单个数据包包含的数据是exe (32/64位)的一部分？

Answer 1

解决了为下载exe的每个数据包触发的警报。默认情况下，Snort开箱即用stream5，当您发出内容匹配规则时，Snort会为您重组所有数据包。

因此，每次传入原始数据包时，都会将其与流中较早的数据包重新组合，并与规则中的属性进行匹配。因此，每次有数据包传入时，都会重复此过程。

在snort.conf中设置stream5_global: show_rebuilt_packets将在重建数据包时显示它们。您也可以尝试使用snort -A cmg运行snort。查看日志来自何处，即查看每个阶段组装的数据包。

但是，snort如何能够轻松地与数据切割工具集成以从数据包捕获中提取文件，以及它是否可以内联完成，目前还不清楚。