某杀软有自定义IPS功能,我想用包过滤方式屏蔽某软件使用。
其正则表达式使用及解释如下:
regexpcontent="string value" (offset , depth)optoffset
| 指定数据包数据中的开始字节,IPS 引擎将从此处开始与特征模式进行匹配。
| depth
| 指定 IPS 引擎用来与特征模式进行匹配的数据包数据长度。
| opt
| 包括 C 和 H 选项。
- C 选项会将表达式设为区分大小写。
- H 选项指定 HTTP 解码。
- 如果没有选项,则会匹配整个数据包。
|
现用科莱抓包数据如下(网卡MAC和敏感数据已修改了):
HTTP - 超文本传输协议[HTTP - Hypertext Transfer Protocol]:[54/117]
00 00 0C AA AA AA 00 23 AE AA AA AA 08 00 45 00 00 9D 15 4A 40 00 80 06 35 DF 0A 20 01 25 7B 97 28 56 04 F5 00 50 5D AC 63 77 28 2D DB 41 50 18 FC 00 AF C1 00 00 00 75 02 28 57 08 25 6B 1D 01 FF FF FF 03 00 00 00 01 01 01 00 00 64 F9 00 00 00 00 9A 87 64 52 AB 27 4C 84 99 10 B5 1A 9E E6 C3 7A 7B 09 F3 8D A0 B4 AC FF FF 8F 8C 1E 1C C2 D9 65 F6 F2 82 86 99 4A 11 BA BA 1E 19 C9 91 D2 27 61 1E 85 91 3B BA F7 CF 12 5D 73 D5 F2 52 5A 64 5F 69 12 4E 4E 17 E4 A5 47 22 73 66 F9 E1 F5 25 BB 45 26 2B 4D D2 3B A2 F4 03
红色部分是我要用来过滤的特征,请问要如何写该正则表达式?
regexpcontent="\x00\x00\x00\x01\x01\x01\x00\x00" (?,?)?
三个?号都应该怎么写? |
发表于 2012-12-6 10:06:42