Sniff'em™ ist vielfältig. Sniff'em ausführliche und flexibele Filtereigenschaften erlauben es jedes kleinste teil eines Internet Packetes zu filteren, folgendes is ein kleines Beispiel das von Nutzen sein kann, bitte beachten Sie dass Sniff'em™ kein Antivirus Produkt per se ist, es kann aber so konfiguriert werden dass es wie eine einfache "Network Intrusion Detection" Einheit fungiert.

Filter Datenbank Ü Worms.sef Worms.sef (sef :: Sniff'em Filter extension ) ist ein kleiner Filter dessen Potential sich nur auf den Voll bzw den 30 Tage Versuchs Versionen von Sniff'em™ entfaltet. Download Es kann im Moment folgende Würmer entdecken : Badtrans (POP3, SMTP) Generische Badtrans Erkennung. Sniff'em™ wird Badtrans sowohl in Emails die von einem POP3 service kommen erkennen als auch solche die über einen SMTP Server versendet werden. Hybris (POP3, SMTP) Generische Hybris Erkennung. Sniff'em™ wird Hybris infizierte Emails die von einem POP3 server stammen erkennen und ausserdem auch noch solche die an einen SMTP server abgeschickt werden, so sind Sie in der Lage auch Hybris Emails zu erkennen die gerade verschickt werden. Nimda (HTTP) Generische Nimda Erkennung. Entweder ein Infizierter host scant Sie oder Sie scannen nach einem , Sniff'em™ wird beides entdecken, und anzeigen. Code Red Version 1(I) and 2 (II) (HTTP) Der Filter wird Versuche erkennen an die Hintertür zu kommen die Code Red version2 hinterlässt, Sniff'em™ wird jedoch auch Scans nach und von Code Red erkennen. Ü Struktur einer Sef Datei Eine .sef (Sniff'em Filter) Datei ist keines wegs in einem Obskuren proprietrem Format gespeichert, die Datei kann einfach mit allen gängingen Text bearbeitungs Programmen wie zum Beispiel (Notepad.exe) geöffnet werden. Hier ein kleiner Auszug aus de worms.sef Datei : {Email Worms} ( Enabled: 1; HighLevel: "#0800*"; LowLevel: "*6*"; PORTSRC[0]: "*"; PORTDEST[0]: "25"; PORTSRC[1]: "110"; PORTDEST[1]: "*"; ASCII[0]: "iframe src=3Dcid:EA4DMGBP9p"; ASCII[1]: "Hahaha hahaha@sexyfun.net"; HighLevel.EX: 0; LowLevel.EX: 0; IP.EX: 1; PORT.EX: 0; MAC.EX: 0; ADV.EX: 0; ASCII.EX: 0; ) {EmailWorms}  Name des Filter Enabled  auf 1 gesetzt, heisst der Filter ist aktiv. Highlevel  auf 0800 (IP) gesetzt. LowLevel  auf 6,TCP traffik gesetzt.  PortSrc [0]  ist eine "wildcard", die Source addresse kann alles sein.  PortDest[0]  ist 25 (SMTP) Traffik.   -Resultat  *<->25, jeder Traffik ZU port 25 der IP,TCP ist wird berücksichtigt.  PortSrc [1]  ist 110 (POP3) traffik.  PortDest[1]  ist eine "wildcard", die Destination IP kann alles sein.   -Resultat  110<->* jeder Traffik VON port 110 der IP,TCP ist wird berücksichtigt   Ascii [0]  ist "iframe src=3Dcid:EA4DMGBP9p"     -Resultat *<->25, jeder Traffik AN port 25 der IP,TCP ist UND ASCII daten "iframe src=3Dcid:EA4DMGBP9p" hat wird aufgezeichnet.   ASCII [1]  ist "Hahaha hahaha@sexyfun.net"      -Resultat 110<->*,jeder Traffik ZU port 110 der IP,TCP ist UND als ASCII daten "Hahaha hahaha@sexyfun.net" hat wird aufgezeichnet.