一般情况下我们遇到的snort规则是 byte_test: 1,>,1000,10
意思是 相对于上次content匹配结束的位置,向后偏移10个,再取一个数转化为10进制数大于1000,则匹配成功
而有时候我们大概会遇到这样的:
byte_test:1,!&,0xF8,2; content:"|29|iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea|03|com|00|";
我们知道 &是按位与计算的,按位与计算就是一个二进制数0001111与另一个二进制数0100100 即 0001111 & 0100100 = 0000100
那么 !&就是与&相反,即F8得二进制数是 1111 1000,那么与之相反得0000 0111 才能匹配成功,转化为十六进制为07
即偏移两个字节后,取一个字节等于0x07
还有一种情况:byte_test: 2,>,1000,-10 这种是向前偏移10字节,然后向后取两个字节大于1000
例如:content:"|05 00|"; depth:2; content:"|12 02|"; within:2; distance:5; byte_test:1,>,1,12,relative; content:"|05 00|"; content:"n|00|"; within:2; distance:5; content:"|05 00|"; content:"|DE 03|"; within:2; distance:5; byte_test:2,>,512,-11,relative,big;
最后一个byte_test的意思就是,相对于上次匹配结束的末尾,向前偏移11个字节,然后向后取两个字节,这里可以看到,我们可以取到 content:"n|00|中的n|00|这两个字节,big就是按高位到低位的网络字节序排序,即n00,对照ASCII表可以得出它大于512,如果是little就是按低位到高位大端字节序排序,即00n