<div dir="auto">Could this be caused by capture loss? If you don&#39;t have all the packets you can&#39;t reconstruct.</div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, May 5, 2020, 15:18 Justin Azoff &lt;<a href="mailto:justin@corelight.com">justin@corelight.com</a>&gt; wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">What does the conn and http log entry look like for the file transfers<br>
that are not  being extracted?<br>
<br>
On Tue, May 5, 2020 at 5:33 PM Hank Duo &lt;<a href="mailto:jradih20@gmail.com" target="_blank" rel="noreferrer">jradih20@gmail.com</a>&gt; wrote:<br>
&gt;<br>
&gt; Hi,<br>
&gt; Following my previous email, Zeek started extracting some .exe files but not all. If for example I download twenty .exe files over http from a certain website, Zeek extracts like 2 or 3 out of 20. Is there a reason why Zeek is not recognizing and extracting all.exe files? Also, I added Binary .bin files to be extracted, however it is not extracting them.<br>
&gt; Note: I am downloading all files over http protocol only and not SSL.<br>
&gt; Thank you for your help<br>
&gt; Regards,<br>
&gt; Hank<br>
&gt;<br>
&gt; On Wed, 29 Apr 2020 at 23:42, Hank Duo &lt;<a href="mailto:jradih20@gmail.com" target="_blank" rel="noreferrer">jradih20@gmail.com</a>&gt; wrote:<br>
&gt;&gt;<br>
&gt;&gt; Hi all,<br>
&gt;&gt;<br>
&gt;&gt; I would like to extract .exe and office files for static and dynamic malware analysis purpose. I used the attached script however .exe or .docs files are not extracted except for html, txt or zip files.<br>
&gt;&gt;<br>
&gt;&gt; Note that I modified the main.zeek file which is located in /usr/local/zeek/share/zeek/zeekctl/main.bro by adding @load /frameworks/files/extract-myfiles (which is the script file name) and commented the default one and the script was applied properly.<br>
&gt;&gt;<br>
&gt;&gt; Also, is there a way to extract files only from http or smb protocols while excluding https?<br>
&gt;&gt; Thank you guys<br>
&gt;&gt;<br>
&gt; _______________________________________________<br>
&gt; Zeek mailing list<br>
&gt; <a href="mailto:zeek@zeek.org" target="_blank" rel="noreferrer">zeek@zeek.org</a><br>
&gt; <a href="http://mailman.ICSI.Berkeley.EDU/mailman/listinfo/zeek" rel="noreferrer noreferrer" target="_blank">http://mailman.ICSI.Berkeley.EDU/mailman/listinfo/zeek</a><br>
<br>
<br>
<br>
-- <br>
Justin<br>
<br>
_______________________________________________<br>
Zeek mailing list<br>
<a href="mailto:zeek@zeek.org" target="_blank" rel="noreferrer">zeek@zeek.org</a><br>
<a href="http://mailman.ICSI.Berkeley.EDU/mailman/listinfo/zeek" rel="noreferrer noreferrer" target="_blank">http://mailman.ICSI.Berkeley.EDU/mailman/listinfo/zeek</a><br>
</blockquote></div>