Data Loss Prevention

 View Only
Back to discussions
Expand all | Collapse all

Symantec Data Loss Prevention - написать правило матчинга писем, содержащих вложение RAR с паролем.

  • 1.  Symantec Data Loss Prevention - написать правило матчинга писем, содержащих вложение RAR с паролем.

    Posted Apr 17, 2015 08:47 AM

    Прошу помощи у сообщества по созданию такого правила.

    Половину задачи решили в виде сигнатурного анализа вложения через скрипт:

    $pktag=ascii('Rar');
    $pktbytes=getBinaryValueAt($data, 0x0, 3);
    assertTrue($pktag == $pktbytes);
    $fileheader=getHexStringValue('74');
    $filebyte=getBinaryValueAt($data, 0x16, 1);
    assertTrue( $fileheader == $filebyte );
    $passwd=getHexStringValue('94');
    $passwdbyte=getBinaryValueAt($data, 0x18, 1);
    assertTrue( $passwd == $passwdbyte );

    Вложения проверяются, письма с архивом rar (например, dogovor.rar) помечаются соответствующим правилом.

    Но если архив сделан с именем на кириллице  (например, договор.rar) - правило не матчит такое письмо.



  • 2.  RE: Symantec Data Loss Prevention - написать правило матчинга писем, содержащих вложение RAR с паролем.

    Trusted Advisor
    Posted Apr 29, 2015 04:42 AM

    hello UZI,

     I have used google translate to understand your question so i hope translation was correct.

    - Did you check that your three signature check are still true in file named in cyrillic ? (i dont have any files like that so i am not able to check)

     

    Regards