<div dir="ltr">Hello,<div> I would have put this in Redmine but am not receiving my password reset email. </div><div><br></div><div>Would it be possible to add an xor operator to Suricata? I'm thinking it could be part of a byte_test but of course defer to those who know better. </div><div><br></div><div>I'm encountering multiple malware families using random multi-byte xor schemes with their C2 protocol. Having an xor operator would allow the key to be extracted from the packet then tested against other bytes looking for known plaintext. </div><div><br></div><div>I can put together some pcap and examples if that would be helpful.</div><div><br></div><div>-Harley</div></div>