<div dir="ltr"><div>Hi Giuseppe, </div><div><br></div><div>Thank you for the feedback. Good point on the libhtp response. I double check to make sure my sample was with in the limit response. Also my file header is marked 'ZWS'. The most likely culprit is not having the decompression library installed. The --build-info indicates that it is not installed. </div><div><br></div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Jul 17, 2018 at 4:34 AM, Giuseppe Longo <span dir="ltr"><<a href="mailto:lists@glongo.it" target="_blank">lists@glongo.it</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span>Hello,<br>
<br>
On 16/07/2018 14:47, Clark Kent wrote:<br>
</span><div><div class="h5"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;padding-left:1ex;border-left-color:rgb(204,204,204);border-left-width:1px;border-left-style:solid">
Hello,<br>
<br>
I was trying out the new Flash decompression feature in beta. Decompressing CWS and making signature on them seems to work fine. However, if I try to signature on lzma content I am not having any luck.<br>
<br>
Is there anything special that needs to be done to signature on lzma compress Flash files? I do have swf decompression on for both types.<br>
<br>
            swf-decompression:<br>
              enabled: yes<br>
              type: both<br>
              compress-depth: 0<br>
              decompress-depth: 0<br>
<br>
</blockquote>
<br></div></div><span>
Configuration is fine. You may need to increase libhtp's limits such as<br>
request/response body limit.<br></span>
LZMA decompression requires liblzma-dev to be installed on your system,<br>
you can check that running 'suricata --build-info'.<br>
Using decoding events will help you catching something wrong.<br>
If that doesn't help you, please try to share a pcap if possible, even privately, so I can try to check if there is an issue.<span><br>
Otherwise, try to paste the first 5 bytes, you should see the 'ZWS' signature in the first three, then flash version and length.<br>
<br>
Regards,<br>
Giuseppe<br>
<br></span>
______________________________<wbr>_________________<br>
Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org" target="_blank">oisf-users@openinfosecfoundati<wbr>on.org</a><br>
Site: <a href="http://suricata-ids.org" target="_blank" rel="noreferrer">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" target="_blank" rel="noreferrer">http://suricata-ids.org/suppor<wbr>t/</a><br>
List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank" rel="noreferrer">https://lists.openinfosecfound<wbr>ation.org/mailman/listinfo/<wbr>oisf-users</a><br>
<br>
Conference: <a href="https://suricon.net" target="_blank" rel="noreferrer">https://suricon.net</a><br>
Trainings: <a href="https://suricata-ids.org/training/" target="_blank" rel="noreferrer">https://suricata-ids.org/train<wbr>ing/</a></blockquote></div><br></div>