On Wednesday 02 December 2009 11:15:41 Moshe Basanchig wrote:
> Same here,
>
> I'm having the exact same issue.
> Suggestions?
>
Same here!
We have a lot of exclusion filters:
# cat ProcessMonitor.exl | wc -l
59
# cat RegistryMonitor.exl | wc -l
563
# cat FileMonitor.exl | wc -l
286
Additionaly, we are having some confussing message like:
UNKNOWN executed 'created' to C:
\Program_Files\Windows_Media_Player\wmpnscfg.exe (3700)
What does 'UNKNOWN' mean in this context?
Thank you very much :)
PD: To verify the correct sintax, we are using the following perl script.
print 'FileMonitor'."\n";
open(ifd,'FileMonitor.exl') or die "Could not open 'FileMonitor.exl'\n";
$c = 0;
foreach $l (<ifd>){
$c++;
if( $l !~ /^[+|-]\t\w+\t[^\t]+\t[^\t]+$/ ){
if( $l !~ /[a-z0-1]/ or $l =~ /^#/ ){ next; }
print $c," ",$l;
}
}
print 'ProcessMonitor'."\n";
open(ifd,'ProcessMonitor.exl') or die "Could not open 'ProcessMonitor.exl'\n";
$c = 0;
foreach $l (<ifd>){
$c++;
if( $l !~ /^[+|-]\t[^\t]+\t[^\t]+\t[^\t]+$/ ){
if( $l !~ /[a-z0-1]/ or $l =~ /^#/ ){ next; }
print $c," ",$l;
}
}
print 'RegistryMonitor'."\n";
open(ifd,'RegistryMonitor.exl') or die "Could not open
'RegistryMonitor.exl'\n";
$c = 0;
foreach $l (<ifd>){
$c++;
if( $l !~ /^[+|-]\t\w+\t[^\t]+\t[^\t]+$/ ){
if( $l !~ /[a-z0-1]/ or $l =~ /^#/ ){ next; }
print $c," ",$l;
}
}
--
_________________________________
Ferran Pichel Llaquet
Analista en Seguridad
CEH
Dpto. de Auditoría
fpic...@isecauditors.com
Internet Security Auditors
www.isecauditors.com
c. Santander, 101. Edif. A. 2º
E-08030 Barcelona (Spain)
Tel: +34 93 305 13 18
Fax: +34 93 278 22 48
Pº. de la Castellana, 164-166. Entlo. 1ª
E-28046 Madrid (Spain)
Tel: +34 91 788 57 78
Fax: +34 91 788 57 01
____________________________________
Este mensaje y los documentos que, en su caso lleve anexos, pueden contener
información CONFIDENCIAL. Por ello, se informa al destinatario que la
información contenida en el mismo es reservada y su uso no autorizado,
publicación o difusión, entera o parcialmente, tanto en formato o medio físico
como electrónico, sin el previo consentimiento de Internet Security Auditors,
está prohibida legalmente.
Si ha recibido este correo por error, le rogamos que nos lo comunique por la
misma vía o por teléfono (+34 93 305 13 18), se abstenga derealizar copias del
mensaje o remitirlo o entregarlo a otra persona y proceda a borrarlo de
inmediato.
En cumplimiento de la Ley Orgánica 15/1999 de 13 de diciembre de protección de
datos de carácter personal, Internet Security Auditors, le informa de que sus
datos personales se han incluido en ficheros informatizados titularidad de
Internet Security Auditors, que será el único destinatario de dichos datos, y
cuya finalidad exclusiva es la gestión de clientes y acciones de comunicación
comercial, y de que tiene la posibilidad de ejercer los derechos de acceso,
rectificación, cancelación y oposición previstos en la ley mediante carta
dirigida a Internet Security Auditors, c. Santander, 101. Edif. A. 2º, E-08030
Barcelona, o vía e-mail a la siguiente dirección de correo:
le...@isecauditors.com
_______________________________________________
Capture-HPC mailing list
Capture-HPC@public.honeynet.org
https://public.honeynet.org/mailman/listinfo/capture-hpc
