我下载了Sniffer Pro的关于MS04-011漏洞的过滤器，里面有一个是捕捉LSASS漏洞的。发现用该过滤器抓到的包并不是准确。根据抓到的包指示的机器，发现已经安装了04-011的补丁。我又下载了04-011的漏洞扫描器对指示的机器进行扫描，也没有发现有该漏洞。不知是怎么回事。而且我发现Sniffer所指示的机器有几台是在BT下载的。不知有没有人能分析一下怎么回事。

这个过滤规则只是针对某一个Exploit写的，因此不会考虑fault positive，更不会考虑fault negative。

我给你解释一下那三个OR着的垃圾规则:

1) 这个是用Transaction发送RPC BIND、用Write AndX发送RPC REQUEST的情形，然后针对RPC Request来报的。

2) 这个是假设有一种攻击是通过139/TCP发起的

3)这个用Write AndX发送RPC BIND、用Transaction发送RPC REQUEST的情形。然后针对RPC Request来报的。

针对CAN-2003-0533的过滤规则需要考虑很多，但至少应该满足这个，否则误报跟大米一样多:

目标端口为139/TCP、445/TCP的RPC REQUEST报文，Opnum为9

0x09, 0x00,                                     // +0x06e Opnum: 9

这是用Transaction发送RPC REQUEST的情形。如果用用Write AndX发送RPC REQUEST，调整0x06e这个偏移。

无论发生溢出与否，正常情况下这种Opnum为9的报文就不该出现在网络上。

这才是最关键的。

DsRoleUpgradeDownlevelServer()本身没有形参指定目标主机。它在内部调用了
非引出函数DsRolepEncryptPasswordStart()，后者第一形参是一个Unicode串，用于指定目标主机，但DsRoleUpgradeDownlevelServer()固定传递NULL，意即目标即本机。这实际意味着正常情况下这种RPC调用永远不会出现在网络上。

谢谢你，费心了！可还是不懂，郁闷.....

就是说，你可以扔了这个csf了，你那个cap文件里的全是误报。它这个"官方"规则至
少应该将第二个OR里强调的139/TCP变成与第一个的AND以及与第三个的AND，这样，至少你的那些BT下载不会被误报上来。这个你总明白吧。

我看不必迷信这些"官方"规则。

scz可以考虑搞个半官方的专业过滤器发布网站
大家以后可以不必迷信“官方”，而迷信“半官方"

> 搞个半官方的专业过滤器发布网站

这个我搞不成，像这个MS04-011，正好是当初头安排给我分析的漏洞，所以还说得
清楚，基本上较少分析漏洞了，现在日常工作是一些常规协议的正经使用，看看RFC
写写代码什么的。像这个过滤规则相关的，碰上自己还了解的，就回一下，不了解的
便只当看客了。