Если вы используете Suricata, то в документации упоминается, что любое шестнадцатеричное значение должно быть помещено в каналы.
Для записи, например, http: // inсодержание подписи, вы должны написать это так: content: «http | 3A | //»;Если вы используете шестнадцатеричное обозначение в подписи, убедитесь, что вы всегда помещаете его между трубами.В противном случае нотация будет восприниматься буквально как часть содержимого.
Кроме того, вы можете расшифровать, что содержимое имеет 00 в каналах в нескольких местах.Таким образом, строка содержимого фактически переводится как «xp_cmdshell»
Если вы хотите узнать, где в пакете он соответствует, вам нужно предоставить более подробную информацию из предупреждения.