<html>
<head>
<style>
.hmmessage P
{
margin:0px;
padding:0px
}
body.hmmessage
{
FONT-SIZE: 10pt;
FONT-FAMILY:Tahoma
}
</style>
</head>
<body class='hmmessage'><div style="text-align: left;">Everyone knows Team0x41 pwns all<br></div><br>Shirkdog<br>' or 1=1-- 
<br>http://www.shirkdog.us<br><br><hr id="stopSpelling">> From: lurene.grenier@...1935...<br>> To: TheWell@...14327...<br>> Date: Mon, 7 Apr 2008 18:05:44 -0400<br>> CC: snort-users@lists.sourceforge.net<br>> Subject: Re: [Snort-users] Team0x42 Snort rules<br>> <br>> In addition you might want to note that the MSF default behavior is to<br>> encode all shellcode and append a decoder to the beginning of the payload,<br>> so none of those MSF shellcode rules will work except the HPUX on PA-RISC<br>> because it lacks a valid encoder (though HPUX on ia64 should still be<br>> undetectable with that rule).<br>> <br>> I'm not in Brooklyn but I am crafty.<br>> <br>> _________________________<br>> Lurene A Grenier, <br>> Analyst Team Lead<br>> Senior Research Engineer<br>>  <br>> Office: (410) 423-1918<br>> Mobile: (703) 839-3898<br>>                  ,,_<br>> SourceFire Inc. o"  )~<br>>                  ''''<br>> <br>> <br>> -----Original Message-----<br>> From: snort-users-bounces@lists.sourceforge.net<br>> [mailto:snort-users-bounces@lists.sourceforge.net] On Behalf Of Brian<br>> Caswell<br>> Sent: Monday, April 07, 2008 6:00 PM<br>> To: TheWell<br>> Cc: snort-users@lists.sourceforge.net<br>> Subject: Re: [Snort-users] Team0x42 Snort rules<br>> <br>> On Apr 7, 2008, at 5:01 PM, TheWell wrote:<br>> > Some good snort rules by Team0x42<br>> <br>> Team B,<br>> <br>> Really?<br>> <br>> I see 5 rules that are all basically the same thing.  Perhaps you  <br>> should update your regular expression to include all 5 cases you  <br>> attempt to cover in 1 rule.<br>> <br>> The following regular expression is released under the license to ill,  <br>> however you may not use it unless you are in Brooklyn, and you did not  <br>> sleep while traveling to said city.<br>> <br>> (\%(60|3b|7c|00)|<)<br>> <br>> Brian<br>> <br>> -------------------------------------------------------------------------<br>> This SF.net email is sponsored by the 2008 JavaOne(SM) Conference <br>> Register now and save $200. Hurry, offer ends at 11:59 p.m., <br>> Monday, April 7! Use priority code J8TLD2. <br>> http://ad.doubleclick.net/clk;198757673;13503038;p?http://java.sun.com/javao<br>> ne<br>> _______________________________________________<br>> Snort-users mailing list<br>> Snort-users@lists.sourceforge.net<br>> Go to this URL to change user options or unsubscribe:<br>> https://lists.sourceforge.net/lists/listinfo/snort-users<br>> Snort-users list archive:<br>> http://www.geocrawler.com/redir-sf.php3?list=snort-users<br>> <br>> <br>> -------------------------------------------------------------------------<br>> This SF.net email is sponsored by the 2008 JavaOne(SM) Conference <br>> Register now and save $200. Hurry, offer ends at 11:59 p.m., <br>> Monday, April 7! Use priority code J8TLD2. <br>> http://ad.doubleclick.net/clk;198757673;13503038;p?http://java.sun.com/javaone<br>> _______________________________________________<br>> Snort-users mailing list<br>> Snort-users@lists.sourceforge.net<br>> Go to this URL to change user options or unsubscribe:<br>> https://lists.sourceforge.net/lists/listinfo/snort-users<br>> Snort-users list archive:<br>> http://www.geocrawler.com/redir-sf.php3?list=snort-users<br><br /><hr />Use video conversation to talk face-to-face with Windows Live Messenger. <a href='http://www.windowslive.com/messenger/connect_your_way.html?ocid=TXT_TAGLM_WL_Refresh_messenger_video_042008' target='_new'>Get started!</a></body>
</html>