On Tue, Nov 24, 2009 at 8:28 PM, Jesse Lands <span dir="ltr"><<a href="mailto:cryptograffiti@...11827...">cryptograffiti@...11827...</a>></span> wrote:<br><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
Not sure if this even possible, but I want to alert on a specific file header flag, but not if it contains another flag.  <br><br>Is there a way to write an alert like that?  Not asking for solutions.  If there is a spot you can reference I can read it.  <br>

<br><br></blockquote><div><br></div><div>You mean to do a positive match, then a negative match?  Yes.</div><div><br></div><div>For instance, I want to look for packets with the word "joel" but not the word "esler"</div>
<div><br></div><div>content:"joel"; content:!"esler"; </div></div><br><br clear="all"><br>-- <br>Joel Esler | 302-223-5974 | gtalk: <a href="mailto:jesler@...1935...">jesler@...1935...</a><br>