<html><head><meta http-equiv="Content-Type" content="text/html charset=windows-1252"><base href="x-msg://321/"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">You can do this with a bunch of byte_extracts and byte_tests.  It would be complicated though.  (If I am reading your email correctly.)<div><br></div><div><span style="font-size: 12px; font-family: 'Lucida Grande'; ">--</span><br><span style="font-size: 12px; font-family: 'Lucida Grande'; "><b>Joel Esler</b></span><br><span style="font-size: 12px; font-family: 'Lucida Grande'; ">Senior Research Engineer, VRT</span><br><span style="font-size: 12px; font-family: 'Lucida Grande'; ">OpenSource Community Manager</span><br><span style="font-size: 12px; font-family: 'Lucida Grande'; ">Sourcefire</span></div><div><span style="font-size: 12px; font-family: 'Lucida Grande'; "><br></span></div><div><div><div>On Mar 26, 2013, at 2:01 PM, "Shields, Joseph (NIH/NIEHS) [C]" <<a href="mailto:joseph.shields@...3788...">joseph.shields@...3788...</a>> wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite"><div lang="EN-US" link="blue" vlink="purple" style="font-family: Helvetica; font-size: medium; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-align: -webkit-auto; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; "><div class="WordSection1" style="page: WordSection1; "><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="color: rgb(31, 73, 125); ">Iím reposting this question as I have not seen any responses yet.  Perhaps this canít be done at this time.<o:p></o:p></span></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="color: rgb(31, 73, 125); "> </span></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="color: rgb(31, 73, 125); ">Brian<o:p></o:p></span></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><o:p> </o:p></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; ">I am looking for a pattern that identifies a threat I am tracking and need to write a signature to find it.  The problem is that I donít know what the starting character will be but I will always know what the difference between two given characters will be.<o:p></o:p></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><o:p> </o:p></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; ">A simple, human readable, example is:<o:p></o:p></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><o:p> </o:p></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; ">ABCDTSRQ<o:p></o:p></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><o:p> </o:p></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; ">The difference between each character is:<o:p></o:p></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><o:p> </o:p></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; ">[A] is 1 SMALLER than [B] is 1 SMALLER than [C] is 1 SMALLER than [D] is 16 SMALLER than [T] is 1 BIGGER than [S] is 1 BIGGER than [R] is 1 BIGGER than [Q]<o:p></o:p></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><o:p> </o:p></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; ">The pattern in this example is -1,-1,-1,-16,+1,+1,+1.<o:p></o:p></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><o:p> </o:p></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; ">BCDEXWVU would match this pattern and so would HIJKZXYW.<o:p></o:p></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><o:p> </o:p></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; ">How can I write this rule?<o:p></o:p></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><o:p> </o:p></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="color: rgb(31, 73, 125); ">Brian</span><o:p></o:p></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><o:p> </o:p></div></div>------------------------------------------------------------------------------<br>Own the Future-Intel&reg; Level Up Game Demo Contest 2013<br>Rise to greatness in Intel's independent game demo contest.<br>Compete for recognition, cash, and the chance to get your game<span class="Apple-converted-space"> </span><br>on Steam. $5K grand prize plus 10 genre and skill prizes.<span class="Apple-converted-space"> </span><br>Submit your demo by 6/6/13.<span class="Apple-converted-space"> </span><a href="http://p.sf.net/sfu/intel_levelupd2d_______________________________________________" style="color: purple; text-decoration: underline; ">http://p.sf.net/sfu/intel_levelupd2d_______________________________________________</a><br>Snort-sigs mailing list<br><a href="mailto:Snort-sigs@...1369....net" style="color: purple; text-decoration: underline; ">Snort-sigs@...2724...s.sourceforge.net</a><br><a href="https://lists.sourceforge.net/lists/listinfo/snort-sigs" style="color: purple; text-decoration: underline; ">https://lists.sourceforge.net/lists/listinfo/snort-sigs</a><br><a href="http://www.snort.org" style="color: purple; text-decoration: underline; ">http://www.snort.org</a><br><br><br>Please visit<span class="Apple-converted-space"> </span><a href="http://blog.snort.org" style="color: purple; text-decoration: underline; ">http://blog.snort.org</a><span class="Apple-converted-space"> </span>for the latest news about Snort!</div></blockquote></div><br></div></body></html>