<div dir="ltr">My intention for this was to do the parsing at the PAC level, but it wasn&#39;t possible at the time. In the meantime, BinPAC now supports including files from other directories, so just how ASN1 is now a BinPAC library shared by SNMP and Kerberos, I would envision GSSAPI to become a library. This would also allow parsing of NTLM auth over HTTP.<div><br></div><div>  --Vlad</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Jan 25, 2016 at 10:33 AM, Seth Hall <span dir="ltr">&lt;<a href="mailto:seth@icir.org" target="_blank">seth@icir.org</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class=""><br>
&gt; On Jan 25, 2016, at 11:17 AM, Martin van Hensbergen &lt;<a href="mailto:martin.vanhensbergen@fox-it.com">martin.vanhensbergen@fox-it.com</a>&gt; wrote:<br>
&gt;<br>
&gt; 1) (pac level) Make a separate library of the parsing of the GSSAPI blob ( as I think this is independent of whether SMB1 or SMB2 is used ), which returns the parsed ASN1 structure when called. Then both the SMB1 and SMB2 parser can use these functions.<br>
<br>
</span>Yep, that&#39;s probably the right way.  We never had enough time to get that integrated more cleanly.<br>
<span class=""><br>
&gt; 2) (bro script level) Make an ASN1 parser at the bro script level that does the parsing there. I would not opt for this route as it probably would be to slow and then we would have two places where this parsing is done.<br>
<br>
</span>This is almost certainly not a great idea as you learned. :)<br>
<br>
  .Seth<br>
<br>
--<br>
Seth Hall<br>
International Computer Science Institute<br>
(Bro) because everyone has a network<br>
<a href="http://www.bro.org/" rel="noreferrer" target="_blank">http://www.bro.org/</a><br>
<br>
<br>
_______________________________________________<br>
bro-dev mailing list<br>
<a href="mailto:bro-dev@bro.org">bro-dev@bro.org</a><br>
<a href="http://mailman.icsi.berkeley.edu/mailman/listinfo/bro-dev" rel="noreferrer" target="_blank">http://mailman.icsi.berkeley.edu/mailman/listinfo/bro-dev</a><br>
</blockquote></div><br></div>