<div dir="ltr"><div>Looking into http and conn files, I can see that the downloaded .exe files appear in http.log however most of the time .exe files are not recognized as application/x-dosexec files. For example, I tried downloading same .exe file several times until it got recognized only once as x-dosexec file. Also, there&#39;s a delay to present the traffic log in http or conn files. <br></div><div><br></div><div>Note: Due to lack of resources, the lab is made up of a single HP server that has Windows 10 where three VMware VMs using VMware Workstation Pro.</div><div>The Zeek VM works as an IP Forwarder with two interfaces: one is connected to the client PC (Internally) and the second interface is connected to the internet. The client PC is a Windows 7 that has a Gateway IP of the internal interface on Zeek Machine and get internet through Zeek VM. <br></div><div>The third machine is a web server with a single interface that is in the same subnet as the Zeek second interface (Connected to the internet). <br></div><div><br></div><div>I configured zeek to monitor the internal interface and the subnet of the client PC.<br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, 6 May 2020 at 01:16, Justin Azoff &lt;<a href="mailto:justin@corelight.com">justin@corelight.com</a>&gt; wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">What does the conn and http log entry look like for the file transfers<br>
that are not  being extracted?<br>
<br>
On Tue, May 5, 2020 at 5:33 PM Hank Duo &lt;<a href="mailto:jradih20@gmail.com" target="_blank">jradih20@gmail.com</a>&gt; wrote:<br>
&gt;<br>
&gt; Hi,<br>
&gt; Following my previous email, Zeek started extracting some .exe files but not all. If for example I download twenty .exe files over http from a certain website, Zeek extracts like 2 or 3 out of 20. Is there a reason why Zeek is not recognizing and extracting all.exe files? Also, I added Binary .bin files to be extracted, however it is not extracting them.<br>
&gt; Note: I am downloading all files over http protocol only and not SSL.<br>
&gt; Thank you for your help<br>
&gt; Regards,<br>
&gt; Hank<br>
&gt;<br>
&gt; On Wed, 29 Apr 2020 at 23:42, Hank Duo &lt;<a href="mailto:jradih20@gmail.com" target="_blank">jradih20@gmail.com</a>&gt; wrote:<br>
&gt;&gt;<br>
&gt;&gt; Hi all,<br>
&gt;&gt;<br>
&gt;&gt; I would like to extract .exe and office files for static and dynamic malware analysis purpose. I used the attached script however .exe or .docs files are not extracted except for html, txt or zip files.<br>
&gt;&gt;<br>
&gt;&gt; Note that I modified the main.zeek file which is located in /usr/local/zeek/share/zeek/zeekctl/main.bro by adding @load /frameworks/files/extract-myfiles (which is the script file name) and commented the default one and the script was applied properly.<br>
&gt;&gt;<br>
&gt;&gt; Also, is there a way to extract files only from http or smb protocols while excluding https?<br>
&gt;&gt; Thank you guys<br>
&gt;&gt;<br>
&gt; _______________________________________________<br>
&gt; Zeek mailing list<br>
&gt; <a href="mailto:zeek@zeek.org" target="_blank">zeek@zeek.org</a><br>
&gt; <a href="http://mailman.ICSI.Berkeley.EDU/mailman/listinfo/zeek" rel="noreferrer" target="_blank">http://mailman.ICSI.Berkeley.EDU/mailman/listinfo/zeek</a><br>
<br>
<br>
<br>
-- <br>
Justin<br>
</blockquote></div>