<html><body><div style="font-family: arial, helvetica, sans-serif; font-size: 12pt; color: #000000"><div>Hi to all,<br data-mce-bogus="1"></div><div><br data-mce-bogus="1"></div><div>i wrote this sig:<br data-mce-bogus="1"></div><div><br data-mce-bogus="1"></div><div>alert http any any -> any any (msg:"MASKED FILE exe"; fileext:!"exe"; filemagic:"executable"; classtype:suspicious-filename-detect; sid:1200400; rev:1;)</div><div><br data-mce-bogus="1"></div><div>but it doesn't work, more precisely it matches even on files with .exe extensions. I suspect the cause is that the file passes through some kind of stream and Suricata doesn't recognize it as a .exe until it has completely passed. Any help is appreciated, Thanks.<br data-mce-bogus="1"></div><div><br data-mce-bogus="1"></div><div>Miso Mijatovic<br data-mce-bogus="1"></div><div></div><div></div><div></div></div></body></html>