<div dir="ltr">Hi,<div><br></div><div>AFAIK, both pdf and swf use same decompression algorithms.</div><div>So, Are you also writing parser for swf? "OR" based on initial few bytes (zws/fws) you are applying your decompression algorithms?</div><div><br></div><div>I am asking this because, In snort they have file decompression code and they use it for both pdf & swf.</div><div>They parse few bytes in swf to determine which decompression algo is being used.</div><div>In Pdf, with the help of /filter object they determine which decompression algo is used.</div><div><br></div><div>Are we going to do the same thing for suricata?</div><div>OR<br></div><div>Is it just a simple swf decompressor?</div><div><br></div><div>Thanks</div><div>Amit</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Aug 25, 2016 at 6:00 PM,  <span dir="ltr"><<a href="mailto:giuseppe@glongo.it" target="_blank">giuseppe@glongo.it</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><p dir="ltr">Hello,</p><span class="">
<p dir="ltr">Il 25 Ago 2016 13:42, amit zala <<a href="mailto:impmails67@gmail.com" target="_blank">impmails67@gmail.com</a>> ha scritto:<br>
><br>
> Hi All,<br>
><br>
> Snort has PDF & SWF file parser and they decompress data using zlib/lzma.<br>
> Does suricata have this feature? I went through the suricata-3.0 code but I was not able to find it.<br>
> I think it is an important feature for IPS engine.<br>
> What are your thoughts on it?</p>
</span><p dir="ltr">I've started some time ago to implement swf decompression, but didn't finish yet.</p>
<p dir="ltr">The plan is to merge it soon.</p>
<p dir="ltr">Regards,<br>
Giuseppe <br></p>
</blockquote></div><br></div>