问题如下：
      不知道一般商业公司如果对安全漏洞进行分析的话，用什么类型的正则表达式？
      因为一般egrep,perl的regex都不大一样。
      我是新手，还不指望自己挖掘什么漏洞，只是通过抓包分析的话  怎么样上手会比较快？
      比如说Vulnerability Detection的template大概是怎么一个样子
   
      不是想窃取商业机密  只是想获取一个初步的思路，之前watercloud转载的一个开发扫描器的帖子找不到了，如果知道，能否告知？
       多谢帮助。

比如说 一般如果Vulnerability确实存在 那么在抓包时要关注哪些重要的字段和偏移量呢？
比如TCP包头和UDP包头的哪些位置 数据段或者？
谢谢了  四哥。

我不是IDS/IPS线上的，你的问题我也没特别关注过。不过根据我的经验，这个用正则表达式，效率不会很高。只能是具体到每个漏洞，设置针对性极强的规则。

DNS协议显然会有别于SNMP协议，所以你的第二个问题也是没有答案的。

总的来说，就是特定协议解码。

对 就是针对Vulnerability Scaner的插件的东西
协议解码是否就是用根据RFC文档规定
然后用工具抓包分析，写到模板里面
一般常用的是TCP Dump 还是Wireshark

[ 本帖最后由 tobe 于 2008-4-20 21:41 编辑 ]

wireshark只是辅助工具，私有协议你得自己去分析，就算是公开的，wireshark也未必都解了。
RFC所包括的协议只是很少的一部分。协议解码一般都会走向逆向工程，不可能只凭抓包解决问题

明白了 四哥。