Snort規則檢測ZIP文件中的單個JS或VBS文件

Question

如何使用Snort規則查找正在下載的僅包含單個 .js或.vbs文件的ZIP文件？

想過用PCRE的 - >^PK +（JS | JS |的js | JS）

樣品流量：
HTTP/1.1 200 OK
日期：週三，19。 2017年4月19時46分43秒GMT
服務器：Apache
X-已啓動方式：PHP/29年3月5日
緩存控制：無緩存，無店鋪，最大年齡= 0，必重新驗證
有效期至：1913年1月8日星期二00:00:00 GMT
Pragma：no-cache
Content-Disposition：attachment;
文件名=「document__917_8324_94_Apr ___ 19___2017_09__44___27.zip」 內容傳送編碼：二進制
保持活動：超時= 5，最大= 100
連接：保持活動
傳輸編碼：分塊
內容類型：應用/八位字節流

4295b
PK ........... JV ... M（...ģ.. < ... document__59020_001366_8039__Apr ___ 19 ___ 2017__09__44 ___ 27.js UT .. ... X ... XUX .... ............ gs.L .-。〜？..？P.（ ％R。 < ..e ... TH。@ .. n ....... [。2..4.g。{.. {.... s ... & ...... 2。 w..V。; uf'..... 3 < ........ m < ..> 8..Z.K6 ... k ..... q.7 .. .v4z ........_.....）... w..Zosw ...... X.4..2。「..ž> ..Ø..... Q6.G.A6.i ....... Muz..T。}。kf..zW .._ö......學家＃.; S上。{.... ..ķ ... Z ... lu.Y; .J ..^....... P = [.. jg.m65 .......... SY.1..F..z {.L ..，。L ...〜o.Me..V ..... a} < .N ..... x ....; ..] ..〜T..n ...。ģ........ž> .. OY ........中號... + Z ...^P_w（... |。。。。0.2，{ ] ........... w^..; .......爲1L ... Wv..p..r..1} .........。 ..r..Wwg.gYr ....> ... 6 .....：？+'..〜0.1 ... Nj'G _..........米... R ... r..SmW .... < ......我們... ... FE一...，M

Answer 1

alert tcp any any -> any any (msg:"TEST"; file_data; content:"|0D 0A 0D 0A 50 4B|"; nocase; pcre:"/\x0D\x0A\x0D\x0APK.+?\.js/i"; sid:1000000;) 

content:"|0D 0A 0D 0A 50 4B|";選項與0123匹配

和i PCRE選項表示忽略區分大小寫。

而且file_data選項檢查HTTP響應。 http://manual-snort-org.s3-website-us-east-1.amazonaws.com/node32.html#SECTION004528000000000000000