Wie kann ich die Snort-Regel verwenden, um heruntergeladene ZIP-Dateien zu finden, die nur eine einzelne.js- oder .vbs-Datei enthalten?Snort-Regel zum Erkennen einzelner JS- oder VBS-Dateien in ZIP-Datei
daran gedacht, mit pcre ->^PK + (js | JS | Js | ß)
Beispiel für Verkehr.
HTTP/1.1 200 OK
Datum: Mi 19. April 2017 19.46.43 GMT
Server: Apache
X-Powered-By: PHP/5.3.29
Cache-Control: no-cache, no-store, max-age = 0, must-revalidate
Läuft ab: Di, 08 Jan 1935 00:00:00 GMT
Pragma: no-cache
Inhalt-Disposition: Anhang;
filename = "document__917_8324_94_Apr ___ 19___2017_09__44___27.zip" Content-Transfer-Encoding: binary
Keep-Alive: timeout = 5, max = 100
Connection: Keep-Alive-
Transfer-Encoding: Chunked
Content-Type: application/octet-stream
4295b
PK ........... JV ... M (G ... .. ... < document__59020_001366_8039__Apr ___ ___ 19 2017__09__44 ___ UT 27.js .. ... X ... Xux .... .................... gs.L .-. ~? ..? P. ( % R. < ..e ... TH. @ .. n ....... [. 2..4.g. {.. {.... s ... & ...... 2. w ... V.; uf '..... 3 < ......... m < ..> .. 8..Z.K6 ... k ..... q.7 .. .v4z ............ ...) ... w ... Zosw ...... X.4..2. ".. z> .. o ..... Q6.G.A6.i ....... Muz..T.}. Kf..zW .._ O ...... J. # .S. {...., .. k ... z ... lu.Y; .J ..^....... P = [.. jg.m65 .......... SY.1..F..z {.L .., .L ... ~ o.Me..V ..... a} < .N ..... x ....; ..] .. ~ T..n ... G ......... z> .. oY ........ M ... +. Z ... ^. P_w. (... | .2.,. { .] ........... W ..; ....... lL ... Wv..p..r..1} .........]. ..r..Wwg.gYr ....> .- .. 6 .....: +. '.. ~ .1 ...?. Nj'G _.......... m ... r ... r..SmW .... < ...... Wir ... fE ... a ... m
Leider kann ich diese Frage nicht beantworten, aber um Sie wissen zu lassen, können Sie Code auswählen und dann STRG + K drücken. Dadurch wird der ausgewählte Text als Code formatiert. Oder schwer - fügen Sie vor jeder Zeile manuell 4 Leerzeichen hinzu. –