<div dir="ltr">Tim,<br> Thanks for the response. I was not getting any answers, so I decided to write the author (Tillman Werner. ;) Here's a "step-by-step how-to" along with a <a href="http://2.8.2.2">2.8.2.2</a> patch that he sent. Only thing is, I'm running snort <a href="http://2.8.2.2">2.8.2.2</a> which might be different from what others may be using. I got it to compile, run, and I tried testing it on a dedicated network, but haven't had any hits either. Curious, do you have the preproc name when it did fire? Btw, I'm looking at this through BASE (and I'm assuming) that there weren't any other extra config that needs to be done for it to show up in BASE. <br>
<br><br>"o  Download snort-2.8.2.2.tar.gz from<br>
<<a href="http://www.snort.org/dl/current/snort-2.8.2.2.tar.gz" target="_blank">http://www.snort.org/dl/current/snort-2.8.2.2.tar.gz</a>><br>
o  Change into the directory where you saved the archive<br>
o  Save the patch from my earlier mail in the same dir<br>
o  Extract the source three by running: tar xzf snort-2.8.2.2.tar.gz<br>
o  Patch the source tree: patch -p0 < snort-2.8.2-pehunter.diff"<br>
o  Enter the source directory: cd snort-2.8.2.2<br>
o  Open <a href="http://configure.in/" target="_blank">configure.in</a> in your favorite editor and delete line 967 to 981<br>
o  Save <a href="http://configure.in/" target="_blank">configure.in</a> and close it<br>
o  Run: autoreconf -i (you might need to install the autoconf package<br>
for your platform)<br>
o  Run: ./configure [your options here, --help gives you a list]<br>
o  Run: make<br>
o  Run: make install<br>
<br>
If you got this far, you successfully patched, compiled and built snort<br>
with pehunter. If you have further questions, you are invited to join<br>
the #nepenthes channel on the freenode IRC network - the guys that hang<br>
out there are always happy do help."<br><br>Thanks<br> Tom<br><br><br><div class="gmail_quote">On Thu, Aug 28, 2008 at 11:43 AM, Tim Maletic <span dir="ltr"><<a href="mailto:tmaletic@...11827...">tmaletic@...11827...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">Hi Tommy.  Thanks for reminding me about this tool.  I ran across it<br>
months ago and meant to try it out.<br>
<br>
I managed to build snort with pehunter (see hints below), and it<br>
worked great on my test system that has practically zero load.  I then<br>
added it to a sensor that sees all traffic to and from the Internet<br>
for my site.  Load increased to a tolerable level, but the<br>
preprocessor fails to detect or capture files.  Enabling debug raised<br>
load enough that I only tested it for small periods of time, but<br>
produced no clues as to the problem.  This sensor has only about a 1%<br>
drop rate.  Has anyone run pehunter successfully on a sensor that's<br>
watching a busy network (as opposed to a sensor that is dedicated to<br>
monitoring honeynet traffic)?<br>
<br>
-tm<br>
<br>
Build tips.  Yes, the autoconf stuff isn't documented well.  After<br>
editing <snort_src_root>/src/preprocids.h as described in the README,<br>
I then edited <snort_src_root>/configure and <a href="http://configure.in" target="_blank">configure.in</a> to include<br>
pehunter.  Basically, I searched those files for<br>
"dynamic-preprocessors/ssl", and added in entries for the path to<br>
pehunter wherever I found one for the ssl preprocessor.<br>
<br>
The configure step produced the following for me:<br>
config.status: creating src/dynamic-preprocessors/pehunter/Makefile<br>
config.status: WARNING:<br>
src/dynamic-preprocessors/pehunter/Makefile.in seems to ignore the<br>
--datarootdir setting<br>
<br>
But I ignored the warning, and make produced a snort binary and<br>
libraries that appeared to contain the new preprocessor, as snort logs<br>
the following on startup:<br>
Loading dynamic preprocessor library<br>
/opt/infosec/snort/lib/snort_dynamicpreprocessor/libsf_pehunter_preproc.so...<br>
done<br>
PEHunter config:<br>
     Dump Directory:      /opt/snort/var/pehunted<br>
     Debug:               no<br>
<br>
I then added the following to my snort.conf:<br>
# Configure PE Hunter module<br>
# --------------------------<br>
dynamicpreprocessor file<br>
/opt/snort/lib/snort_dynamicpreprocessor/libsf_pehunter_preproc.so<br>
preprocessor pehunter: dump_dir var/pehunted<br>
<br>
or optionally:<br>
preprocessor pehunter: dump_dir var/pehunted debug<br>
<div><div></div><div class="Wj3C7c"><br>
On Fri, Aug 15, 2008 at 10:54 AM, Tommy Cansanay <<a href="mailto:toortog@...11827...">toortog@...11827...</a>> wrote:<br>
> Anybody successfully install PE Hunter from<br>
> <a href="http://honeytrap.mwcollect.org/pehunter" target="_blank">http://honeytrap.mwcollect.org/pehunter</a> ? I added the README file below. I'm<br>
> not familiar with configuring preprocessors and was wondering if anybody<br>
> could help.<br>
><br>
> Questions:<br>
> 1.) "Then modify the autoconf stuff to include the module in<br>
> the build process." -- How?<br>
><br>
> 2.) "Add a 'debug' option to the above line to produce verbose logging." --<br>
> how?<br>
><br>
><br>
> Thanks<br>
>    Tom<br>
><br>
> PE Hunter is a plugin for snort (aka dynamic preprocessor) for extracting<br>
> Windows executables (files in PE format) from the network stream.<br>
><br>
> It first spots a PE header and then uses a simple heuristic to calculate the<br>
> file length. Starting at the header offset in a stream, the resulting number<br>
> of<br>
> This technique does not work for some specially crafted binaries, e.g.,<br>
> self-<br>
> extracting archives or programs with additional data after the end of the<br>
> last<br>
> section since there is no way to passively identify such data in a stream.<br>
><br>
> Compiling and Installation<br>
> --------------------------<br>
><br>
> Copy the pehunter source directory to src/dynamic-preprocessors in the snort<br>
> source tree. You have to add a line like<br>
><br>
>         #define PP_PEHUNTER             28<br>
><br>
> to src/preprocids.h. Then modify the autoconf stuff to include the module in<br>
> the build process. The usual configure [opts] && make && make install places<br>
> installs snort with PEHunter preprocessor.<br>
><br>
> Use snort in inline mode (configure with --enable-inline on Linux) to make<br>
> sure<br>
> that no packet gets missed. This quarantees full and fault-free stream<br>
> reassembly and is the recommended mode for PEHunter.<br>
><br>
><br>
> Configuration<br>
> -------------<br>
><br>
> Files are stored as their md5 checksum of the corresponding data in a<br>
> configurable location. Snort must be configured to use PE Hunter. Please<br>
> include<br>
> the following lines in your snort.conf:<br>
><br>
><br>
>         # make sure to load the stream4 preprocessor first<br>
>         dynamicpreprocessor file /location/of/libsf_smtp_preproc.so<br>
><br>
>         # Configure PE Hunter module<br>
>         # --------------------------<br>
>         preprocessor pehunter: dump_dir /var/log/snort/binaries<br>
><br>
><br>
> Add a 'debug' option to the above line to produce verbose logging.<br>
><br>
><br>
><br>
><br>
><br>
</div></div>> -------------------------------------------------------------------------<br>
> This SF.Net email is sponsored by the Moblin Your Move Developer's challenge<br>
> Build the coolest Linux based applications with Moblin SDK & win great<br>
> prizes<br>
> Grand prize is a trip for two to an Open Source event anywhere in the world<br>
> <a href="http://moblin-contest.org/redirect.php?banner_id=100&url=/" target="_blank">http://moblin-contest.org/redirect.php?banner_id=100&url=/</a><br>
> _______________________________________________<br>
> Snort-users mailing list<br>
> <a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@lists.sourceforge.net</a><br>
> Go to this URL to change user options or unsubscribe:<br>
> <a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
> Snort-users list archive:<br>
> <a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br>
><br>
</blockquote></div><br></div>