このトピックでは、大きなトークンの部分文字列を検索する方法について説明します。
PowerShell コマンドをエンコードされたコマンド ラインで検索する場合、-enc パラメータの後の部分のバリエーションを検索すると、特別に処理されない限り失敗することがあります。それ以外の process_cmdline の任意の部分の検索は機能します。
| 機能する | process_cmdline:powershell\ -noP\ -sta\ -w\ 1\ \-enc |
| 機能しない | process_cmdline:powershell\ -noP\ -sta\ -w\ 1\ \-enc\
SQBGACgAJABQAFMAVgB* |
前の例で、プラットフォーム検索は、検索に役立たないと仮定してインデックス内の非常に大きなトークンを切り捨てるため、検索は失敗します。これらの大きなトークンは引き続き保存され、検索結果に返されます。非常に大きなトークンとは、単一のトークンに対して 256 文字以上と定義されます。通常、大きなトークンは非常に大きな Base 64 文字列または 16 進数文字列のみです。非常に大きなトークンを検索するには、先頭文字とワイルドカードを使用します。
注: 残りのコマンド ラインは、1 つのクエリで検索し、
process_cmdline_length field を使用してコマンド ラインで大きなトークンを検索する
AND と組み合わせることをお勧めします。
| 機能する | process_cmdline:powershell\ -noP\ -sta\ -w\ 1\ \-\enc\ AND process_cmdline_length:[100 TO *] |
| 機能しない | process_cmdline:powershell\ -noP\ -sta\ -w\ 1\ \-\enc\ SQBGACgAJABQAFMAVgB* |
