| No. Time Source Destination Protocol Length Info | |
| 1 0.000000 10.33.5.130 10.1.0.14 SMB 146 NT Create AndX Request, Path: \ | |
| Frame 1: 146 bytes on wire (1168 bits), 146 bytes captured (1168 bits) | |
| Ethernet II, Src: Universa_47:01:18 (fc:4d:d4:47:01:18), Dst: CheckPoi_3f:a9:5c (00:1c:7f:3f:a9:5c) | |
| Internet Protocol Version 4, Src: 10.33.5.130 (10.33.5.130), Dst: 10.1.0.14 (10.1.0.14) | |
| Transmission Control Protocol, Src Port: 64227 (64227), Dst Port: microsoft-ds (445), Seq: 1, Ack: 1, Len: 92 | |
| NetBIOS Session Service | |
| SMB (Server Message Block Protocol) | |
| SMB Header | |
| Server Component: SMB | |
| [Response in: 2] | |
| SMB Command: NT Create AndX (0xa2) | |
| NT Status: STATUS_SUCCESS (0x00000000) | |
| Flags: 0x18 | |
| 0... .... = Request/Response: Message is a request to the server | |
| .0.. .... = Notify: Notify client only on open | |
| ..0. .... = Oplocks: OpLock not requested/granted | |
| ...1 .... = Canonicalized Pathnames: Pathnames are canonicalized | |
| .... 1... = Case Sensitivity: Path names are caseless | |
| .... ..0. = Receive Buffer Posted: Receive buffer has not been posted | |
| .... ...0 = Lock and Read: Lock&Read, Write&Unlock are not supported | |
| Flags2: 0xc807 | |
| 1... .... .... .... = Unicode Strings: Strings are Unicode | |
| .1.. .... .... .... = Error Code Type: Error codes are NT error codes | |
| ..0. .... .... .... = Execute-only Reads: Don't permit reads if execute-only | |
| ...0 .... .... .... = Dfs: Don't resolve pathnames with Dfs | |
| .... 1... .... .... = Extended Security Negotiation: Extended security negotiation is supported | |
| .... .0.. .... .... = Reparse Path: The request does not use a @GMT reparse path | |
| .... .... .0.. .... = Long Names Used: Path names in request are not long file names | |
| .... .... ...0 .... = Security Signatures Required: Security signatures are not required | |
| .... .... .... 0... = Compressed: Compression is not requested | |
| .... .... .... .1.. = Security Signatures: Security signatures are supported | |
| .... .... .... ..1. = Extended Attributes: Extended attributes are supported | |
| .... .... .... ...1 = Long Names Allowed: Long file names are allowed in the response | |
| Process ID High: 0 | |
| Signature: 0000000000000000 | |
| Reserved: 0000 | |
| Tree ID: 1 | |
| Process ID: 6260 | |
| User ID: 1 | |
| Multiplex ID: 192 | |
| NT Create AndX Request (0xa2) | |
| Word Count (WCT): 24 | |
| AndXCommand: No further commands (0xff) | |
| Reserved: 00 | |
| AndXOffset: 57054 | |
| Reserved: 00 | |
| File Name Len: 2 | |
| Create Flags: 0x00000010 | |
| .... .... .... .... .... .... ...1 .... = Extended Response: Extended responses required | |
| .... .... .... .... .... .... .... 0... = Create Directory: Target of open can be a file | |
| .... .... .... .... .... .... .... .0.. = Batch Oplock: Does NOT request batch oplock | |
| .... .... .... .... .... .... .... ..0. = Exclusive Oplock: Does NOT request oplock | |
| Root FID: 0x00000000 | |
| Access Mask: 0x00100001 | |
| 0... .... .... .... .... .... .... .... = Generic Read: Generic read is NOT set | |
| .0.. .... .... .... .... .... .... .... = Generic Write: Generic write is NOT set | |
| ..0. .... .... .... .... .... .... .... = Generic Execute: Generic execute is NOT set | |
| ...0 .... .... .... .... .... .... .... = Generic All: Generic all is NOT set | |
| .... ..0. .... .... .... .... .... .... = Maximum Allowed: Maximum allowed is NOT set | |
| .... ...0 .... .... .... .... .... .... = System Security: System security is NOT set | |
| .... .... ...1 .... .... .... .... .... = Synchronize: Can wait on handle to SYNCHRONIZE on completion of I/O | |
| .... .... .... 0... .... .... .... .... = Write Owner: Can NOT write owner (take ownership) | |
| .... .... .... .0.. .... .... .... .... = Write DAC: Owner may NOT write to the DAC | |
| .... .... .... ..0. .... .... .... .... = Read Control: Read access is NOT granted to owner, group and ACL of the SID | |
| .... .... .... ...0 .... .... .... .... = Delete: NO delete access | |
| .... .... .... .... .... ...0 .... .... = Write Attributes: NO write attributes access | |
| .... .... .... .... .... .... 0... .... = Read Attributes: NO read attributes access | |
| .... .... .... .... .... .... .0.. .... = Delete Child: NO delete child access | |
| .... .... .... .... .... .... ..0. .... = Execute: NO execute access | |
| .... .... .... .... .... .... ...0 .... = Write EA: NO write extended attributes access | |
| .... .... .... .... .... .... .... 0... = Read EA: NO read extended attributes access | |
| .... .... .... .... .... .... .... .0.. = Append: NO append access | |
| .... .... .... .... .... .... .... ..0. = Write: NO write access | |
| .... .... .... .... .... .... .... ...1 = Read: READ access | |
| Allocation Size: 0 | |
| File Attributes: 0x00000000 | |
| .... .... .... .... .0.. .... .... .... = Encrypted: This is NOT an encrypted file | |
| .... .... .... .... ..0. .... .... .... = Content Indexed: This file MAY be indexed by the content indexing service | |
| .... .... .... .... ...0 .... .... .... = Offline: This file is NOT offline | |
| .... .... .... .... .... 0... .... .... = Compressed: This is NOT a compressed file | |
| .... .... .... .... .... .0.. .... .... = Reparse Point: This file does NOT have an associated reparse point | |
| .... .... .... .... .... ..0. .... .... = Sparse: This is NOT a sparse file | |
| .... .... .... .... .... ...0 .... .... = Temporary: This is NOT a temporary file | |
| .... .... .... .... .... .... 0... .... = Normal: This file has some attribute set | |
| .... .... .... .... .... .... .0.. .... = Device: This is NOT a device | |
| .... .... .... .... .... .... ..0. .... = Archive: This file has NOT been modified since last archive | |
| .... .... .... .... .... .... ...0 .... = Directory: This is NOT a directory | |
| .... .... .... .... .... .... .... 0... = Volume ID: This is NOT a volume ID | |
| .... .... .... .... .... .... .... .0.. = System: This is NOT a system file | |
| .... .... .... .... .... .... .... ..0. = Hidden: This is NOT a hidden file | |
| .... .... .... .... .... .... .... ...0 = Read Only: This file is NOT read only | |
| Share Access: 0x00000007 SHARE_DELETE SHARE_WRITE SHARE_READ | |
| .... .... .... .... .... .... .... .1.. = Delete: Object can be shared for DELETE | |
| .... .... .... .... .... .... .... ..1. = Write: Object can be shared for WRITE | |
| .... .... .... .... .... .... .... ...1 = Read: Object can be shared for READ | |
| Disposition: Open (if file exists open it, else fail) (1) | |
| Create Options: 0x00004001 | |
| .... .... .... .... .... .... .... ...1 = Directory: File being created/opened must be a directory | |
| .... .... .... .... .... .... .... ..0. = Write Through: Writes need not flush buffered data before completing | |
| .... .... .... .... .... .... .... .0.. = Sequential Only: The file might not only be accessed sequentially | |
| .... .... .... .... .... .... .... 0... = Intermediate Buffering: Intermediate buffering is allowed | |
| .... .... .... .... .... .... ...0 .... = Sync I/O Alert: Operations NOT necessarily synchronous | |
| .... .... .... .... .... .... ..0. .... = Sync I/O Nonalert: Operations NOT necessarily synchronous | |
| .... .... .... .... .... .... .0.. .... = Non-Directory: File being created/opened must be a directory | |
| .... .... .... .... .... .... 0... .... = Create Tree Connection: Create Tree Connections is NOT set | |
| .... .... .... .... .... ...0 .... .... = Complete If Oplocked: Complete if oplocked is NOT set | |
| .... .... .... .... .... ..0. .... .... = No EA Knowledge: The client understands extended attributes | |
| .... .... .... .... .... .0.. .... .... = 8.3 Only: The client understands long file names | |
| .... .... .... .... .... 0... .... .... = Random Access: The file will not be accessed randomly | |
| .... .... .... .... ...0 .... .... .... = Delete On Close: The file should not be deleted when it is closed | |
| .... .... .... .... ..0. .... .... .... = Open By FileID: OpenByFileID is NOT set | |
| .... .... .... .... .1.. .... .... .... = Backup Intent: This is a create with BACKUP INTENT | |
| .... .... .... .... 0... .... .... .... = No Compression: Compression is allowed for Open/Create | |
| .... .... ...0 .... .... .... .... .... = Reserve Opfilter: Reserve Opfilter is NOT set | |
| .... .... ..0. .... .... .... .... .... = Open Reparse Point: Normal open | |
| .... .... .0.. .... .... .... .... .... = Open No Recall: Open no recall is NOT set | |
| .... .... 0... .... .... .... .... .... = Open For Free Space query: This is NOT an open for free space query | |
| Impersonation: Impersonation (2) | |
| Security Flags: 0x00 | |
| .... ...0 = Context Tracking: Security tracking mode is STATIC | |
| .... ..0. = Effective Only: ALL aspects of the client's security context are available | |
| Byte Count (BCC): 5 | |
| File Name: \ | |
| No. Time Source Destination Protocol Length Info | |
| 2 0.001057 10.1.0.14 10.33.5.130 SMB 93 NT Create AndX Response, FID: 0x0000, Error: STATUS_ACCESS_DENIED | |
| Frame 2: 93 bytes on wire (744 bits), 93 bytes captured (744 bits) | |
| Ethernet II, Src: CheckPoi_3f:a9:5c (00:1c:7f:3f:a9:5c), Dst: Universa_47:01:18 (fc:4d:d4:47:01:18) | |
| Internet Protocol Version 4, Src: 10.1.0.14 (10.1.0.14), Dst: 10.33.5.130 (10.33.5.130) | |
| Transmission Control Protocol, Src Port: microsoft-ds (445), Dst Port: 64227 (64227), Seq: 1, Ack: 93, Len: 39 | |
| NetBIOS Session Service | |
| SMB (Server Message Block Protocol) | |
| SMB Header | |
| Server Component: SMB | |
| [Response to: 1] | |
| [Time from request: 0.001057000 seconds] | |
| SMB Command: NT Create AndX (0xa2) | |
| NT Status: STATUS_ACCESS_DENIED (0xc0000022) | |
| Flags: 0x98 | |
| 1... .... = Request/Response: Message is a response to the client/redirector | |
| .0.. .... = Notify: Notify client only on open | |
| ..0. .... = Oplocks: OpLock not requested/granted | |
| ...1 .... = Canonicalized Pathnames: Pathnames are canonicalized | |
| .... 1... = Case Sensitivity: Path names are caseless | |
| .... ..0. = Receive Buffer Posted: Receive buffer has not been posted | |
| .... ...0 = Lock and Read: Lock&Read, Write&Unlock are not supported | |
| Flags2: 0xc807 | |
| 1... .... .... .... = Unicode Strings: Strings are Unicode | |
| .1.. .... .... .... = Error Code Type: Error codes are NT error codes | |
| ..0. .... .... .... = Execute-only Reads: Don't permit reads if execute-only | |
| ...0 .... .... .... = Dfs: Don't resolve pathnames with Dfs | |
| .... 1... .... .... = Extended Security Negotiation: Extended security negotiation is supported | |
| .... .0.. .... .... = Reparse Path: The request does not use a @GMT reparse path | |
| .... .... .0.. .... = Long Names Used: Path names in request are not long file names | |
| .... .... ...0 .... = Security Signatures Required: Security signatures are not required | |
| .... .... .... 0... = Compressed: Compression is not requested | |
| .... .... .... .1.. = Security Signatures: Security signatures are supported | |
| .... .... .... ..1. = Extended Attributes: Extended attributes are supported | |
| .... .... .... ...1 = Long Names Allowed: Long file names are allowed in the response | |
| Process ID High: 0 | |
| Signature: 0000000000000000 | |
| Reserved: 0000 | |
| Tree ID: 1 | |
| Process ID: 6260 | |
| User ID: 1 | |
| Multiplex ID: 192 | |
| NT Create AndX Response (0xa2) | |
| Word Count (WCT): 0 | |
| Byte Count (BCC): 0 | |
| [FID: 0x0000 (\)] | |
| [Opened in: 2] | |
| [Closed in: 2] | |
| [File Name: \] | |
| Create Flags: 0x00000010 | |
| .... .... .... .... .... .... ...1 .... = Extended Response: Extended responses required | |
| .... .... .... .... .... .... .... 0... = Create Directory: Target of open can be a file | |
| .... .... .... .... .... .... .... .0.. = Batch Oplock: Does NOT request batch oplock | |
| .... .... .... .... .... .... .... ..0. = Exclusive Oplock: Does NOT request oplock | |
| Access Mask: 0x00100001 | |
| 0... .... .... .... .... .... .... .... = Generic Read: Generic read is NOT set | |
| .0.. .... .... .... .... .... .... .... = Generic Write: Generic write is NOT set | |
| ..0. .... .... .... .... .... .... .... = Generic Execute: Generic execute is NOT set | |
| ...0 .... .... .... .... .... .... .... = Generic All: Generic all is NOT set | |
| .... ..0. .... .... .... .... .... .... = Maximum Allowed: Maximum allowed is NOT set | |
| .... ...0 .... .... .... .... .... .... = System Security: System security is NOT set | |
| .... .... ...1 .... .... .... .... .... = Synchronize: Can wait on handle to SYNCHRONIZE on completion of I/O | |
| .... .... .... 0... .... .... .... .... = Write Owner: Can NOT write owner (take ownership) | |
| .... .... .... .0.. .... .... .... .... = Write DAC: Owner may NOT write to the DAC | |
| .... .... .... ..0. .... .... .... .... = Read Control: Read access is NOT granted to owner, group and ACL of the SID | |
| .... .... .... ...0 .... .... .... .... = Delete: NO delete access | |
| .... .... .... .... .... ...0 .... .... = Write Attributes: NO write attributes access | |
| .... .... .... .... .... .... 0... .... = Read Attributes: NO read attributes access | |
| .... .... .... .... .... .... .0.. .... = Delete Child: NO delete child access | |
| .... .... .... .... .... .... ..0. .... = Execute: NO execute access | |
| .... .... .... .... .... .... ...0 .... = Write EA: NO write extended attributes access | |
| .... .... .... .... .... .... .... 0... = Read EA: NO read extended attributes access | |
| .... .... .... .... .... .... .... .0.. = Append: NO append access | |
| .... .... .... .... .... .... .... ..0. = Write: NO write access | |
| .... .... .... .... .... .... .... ...1 = Read: READ access | |
| File Attributes: 0x00000000 | |
| .... .... .... .... .0.. .... .... .... = Encrypted: This is NOT an encrypted file | |
| .... .... .... .... ..0. .... .... .... = Content Indexed: This file MAY be indexed by the content indexing service | |
| .... .... .... .... ...0 .... .... .... = Offline: This file is NOT offline | |
| .... .... .... .... .... 0... .... .... = Compressed: This is NOT a compressed file | |
| .... .... .... .... .... .0.. .... .... = Reparse Point: This file does NOT have an associated reparse point | |
| .... .... .... .... .... ..0. .... .... = Sparse: This is NOT a sparse file | |
| .... .... .... .... .... ...0 .... .... = Temporary: This is NOT a temporary file | |
| .... .... .... .... .... .... 0... .... = Normal: This file has some attribute set | |
| .... .... .... .... .... .... .0.. .... = Device: This is NOT a device | |
| .... .... .... .... .... .... ..0. .... = Archive: This file has NOT been modified since last archive | |
| .... .... .... .... .... .... ...0 .... = Directory: This is NOT a directory | |
| .... .... .... .... .... .... .... 0... = Volume ID: This is NOT a volume ID | |
| .... .... .... .... .... .... .... .0.. = System: This is NOT a system file | |
| .... .... .... .... .... .... .... ..0. = Hidden: This is NOT a hidden file | |
| .... .... .... .... .... .... .... ...0 = Read Only: This file is NOT read only | |
| Share Access: 0x00000007 SHARE_DELETE SHARE_WRITE SHARE_READ | |
| .... .... .... .... .... .... .... .1.. = Delete: Object can be shared for DELETE | |
| .... .... .... .... .... .... .... ..1. = Write: Object can be shared for WRITE | |
| .... .... .... .... .... .... .... ...1 = Read: Object can be shared for READ | |
| Create Options: 0x00004001 | |
| .... .... .... .... .... .... .... ...1 = Directory: File being created/opened must be a directory | |
| .... .... .... .... .... .... .... ..0. = Write Through: Writes need not flush buffered data before completing | |
| .... .... .... .... .... .... .... .0.. = Sequential Only: The file might not only be accessed sequentially | |
| .... .... .... .... .... .... .... 0... = Intermediate Buffering: Intermediate buffering is allowed | |
| .... .... .... .... .... .... ...0 .... = Sync I/O Alert: Operations NOT necessarily synchronous | |
| .... .... .... .... .... .... ..0. .... = Sync I/O Nonalert: Operations NOT necessarily synchronous | |
| .... .... .... .... .... .... .0.. .... = Non-Directory: File being created/opened must be a directory | |
| .... .... .... .... .... .... 0... .... = Create Tree Connection: Create Tree Connections is NOT set | |
| .... .... .... .... .... ...0 .... .... = Complete If Oplocked: Complete if oplocked is NOT set | |
| .... .... .... .... .... ..0. .... .... = No EA Knowledge: The client understands extended attributes | |
| .... .... .... .... .... .0.. .... .... = 8.3 Only: The client understands long file names | |
| .... .... .... .... .... 0... .... .... = Random Access: The file will not be accessed randomly | |
| .... .... .... .... ...0 .... .... .... = Delete On Close: The file should not be deleted when it is closed | |
| .... .... .... .... ..0. .... .... .... = Open By FileID: OpenByFileID is NOT set | |
| .... .... .... .... .1.. .... .... .... = Backup Intent: This is a create with BACKUP INTENT | |
| .... .... .... .... 0... .... .... .... = No Compression: Compression is allowed for Open/Create | |
| .... .... ...0 .... .... .... .... .... = Reserve Opfilter: Reserve Opfilter is NOT set | |
| .... .... ..0. .... .... .... .... .... = Open Reparse Point: Normal open | |
| .... .... .0.. .... .... .... .... .... = Open No Recall: Open no recall is NOT set | |
| .... .... 0... .... .... .... .... .... = Open For Free Space query: This is NOT an open for free space query | |
| [Disposition: Open (if file exists open it, else fail) (1)] |
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment