iframesと一致するように署名を書いたhttp responsesです。ファイルに一致するブロー署名を抽出する
これはうまく動作し、signatures.logとnotice.logというエントリがあります。私は、私は、私はsignature_matchイベントを見れば、私はデータ変数にhttpコンテンツを見ることができます、詳しく見を持つことができ、このsigを打つすべてのファイルを抽出したいと思います
-
は、私はちょうど出力すべきこのデータをファイルに追加するか、またはファイルを正しく抽出するためにfile_extract機能を使用する方法があります。
これをさらにsigsと拡張したいので、ファイル抽出が私の好みの方法です。
sig_matchイベントを捕捉してから、ファイルを呼び出すか、file_newイベントをキャッチして何らかの形でsigに一致させる必要がありますか?
あなたは警告がある簡単なことをすることができます。これは、fa_fileレコードで指定されたbof_buffer(Begin Of Fileバッファ)を使用することによって、ファイルの最初の4096バイトに一致します。 file_sniffイベントでその記録を調べて、探しているものが見つかるかどうか確認できます。この小さなそれほど重要での注意点を作る何
event file_sniff(f: fa_file, meta: fa_metadata)
{
if (/<[iI][fF][rR][aA][mM][eE][[:blank:]]/ in f$bof_buffer)
{
Files::add_analyzer(f, Files::ANALYZER_EXTRACT);
}
}
は、あなたが実際にとにかくfile_sniffイベントの後、完全なファイルを抽出する機会を持っていないということです。 Broは常にストリーミング形式でデータを処理し、メモリに永遠に保存しないので、ファイル抽出アナライザなどのアナライザにフラッシュする前に、この小さなバッファを保持してファイルを決定することができます。 。
実際にファイル全体を抽出したいのですか、iframeのURLを抽出するだけですか?
私はファイル全体を抽出することを検討しています。ファイルパターン正規表現の読み込みを.sigファイルで定義し、signature_matchイベントを使用して、署名に当たったファイルを抽出できることを期待していました。これは、ヒットがsignatures.logに記録され、さらに解析するためにファイルがディスクに保存されることを意味します。 –