У меня есть большой (8 ГБ) захват пакета (.pcap), который сгенерировал несколько предупреждений Snort.
Я подозреваю, что некоторые данные могли быть украдены во время кодирования. Есть ли простой способ определить, вышло ли что-то из закодированного в Base64, без необходимости просеивать Wireshark, чтобы найти проблему, возможно, с помощью терминала?
Я беспокоюсь о том, что актор может перемещаться внутри системы и извлекать файлы в стороннюю систему, которые не будут распознаны предупреждениями Snort.
Я попытался разобрать большой .pcap на файлы размером 200 МБ, чтобы можно было более внимательно изучить (моя виртуальная машина имеет ограничения по памяти).