来一张wireshark抓下的SMB包,再解读一下。
一个包的内容有
网卡
IPV4
TCP
NetBIOS
SMB
SMB header
SMB Command: xxx
Error class: xxx
info名(xxx)
# session key往下的部分的,如
Security Blob Length: xxx
Reserved: xxx
Capabilities: xxx #再往下不需要继续解析,内容太多
Bytes Count(BBC): xxx
暂时的,基于流量来检测所需要的SMB协议内容为这些。不进行下一层的解析,因为数据量过大的原因。根据SMB header 和info的内容进行检测,难免会有一些误报,毕竟不能对发送的buf的二进制来进行检测,不过毕竟是有一些特点可以抓的。在不严重损耗性能的情况下尽量来提高精度。