Я пишу собственное правило для следующего эксплойта: http://www.exploit-db.com/exploits/36100/
Я запустил эксплойт, и пакет, для которого я пишу правило, можно увидеть здесь: http://txt.do/cxgb
Это текущее правило, которое я использую:
alert tcp any any -> any any (msg:"X360 VideoPlayer ActiveX Control Buffer Overflow"; flow:to_server,established; content:"\x64\xa1\x18\x00\x00\x00\x83\xc0\x08\x8b\x20\x81\xc4\x30\xf8\xff\xff"; fast_pattern; http_client_body; metadata: service http; sid:1000007; rev:1;)
Однако Snort не предупреждает об этом. Кто-нибудь может понять, почему? Заранее спасибо.