Skip to content

Instantly share code, notes, and snippets.

@orgads

orgads/othersmb-works.txt

Created August 19, 2015 06:23
Show Gist options
  • Star 0 You must be signed in to star a gist
  • Fork 0 You must be signed in to fork a gist
  • Save orgads/e76a00c2cc0fc8a43d95 to your computer and use it in GitHub Desktop.
Save orgads/e76a00c2cc0fc8a43d95 to your computer and use it in GitHub Desktop.
Download ZIP
Raw
othersmb-works.txt
No. Time Source Destination Protocol Length Info
5 0.432160 10.33.5.130 10.1.0.121 SMB 146 NT Create AndX Request, FID: 0x2126, Path: \
Frame 5: 146 bytes on wire (1168 bits), 146 bytes captured (1168 bits)
Ethernet II, Src: Universa_47:01:18 (fc:4d:d4:47:01:18), Dst: CheckPoi_3f:a9:5c (00:1c:7f:3f:a9:5c)
Internet Protocol Version 4, Src: 10.33.5.130 (10.33.5.130), Dst: 10.1.0.121 (10.1.0.121)
Transmission Control Protocol, Src Port: seagulllms (1291), Dst Port: microsoft-ds (445), Seq: 1, Ack: 1, Len: 92
NetBIOS Session Service
SMB (Server Message Block Protocol)
SMB Header
Server Component: SMB
[Response in: 6]
SMB Command: NT Create AndX (0xa2)
NT Status: STATUS_SUCCESS (0x00000000)
Flags: 0x18
0... .... = Request/Response: Message is a request to the server
.0.. .... = Notify: Notify client only on open
..0. .... = Oplocks: OpLock not requested/granted
...1 .... = Canonicalized Pathnames: Pathnames are canonicalized
.... 1... = Case Sensitivity: Path names are caseless
.... ..0. = Receive Buffer Posted: Receive buffer has not been posted
.... ...0 = Lock and Read: Lock&Read, Write&Unlock are not supported
Flags2: 0xc807
1... .... .... .... = Unicode Strings: Strings are Unicode
.1.. .... .... .... = Error Code Type: Error codes are NT error codes
..0. .... .... .... = Execute-only Reads: Don't permit reads if execute-only
...0 .... .... .... = Dfs: Don't resolve pathnames with Dfs
.... 1... .... .... = Extended Security Negotiation: Extended security negotiation is supported
.... .0.. .... .... = Reparse Path: The request does not use a @GMT reparse path
.... .... .0.. .... = Long Names Used: Path names in request are not long file names
.... .... ...0 .... = Security Signatures Required: Security signatures are not required
.... .... .... 0... = Compressed: Compression is not requested
.... .... .... .1.. = Security Signatures: Security signatures are supported
.... .... .... ..1. = Extended Attributes: Extended attributes are supported
.... .... .... ...1 = Long Names Allowed: Long file names are allowed in the response
Process ID High: 0
Signature: 0000000000000000
Reserved: 0000
Tree ID: 1
Process ID: 8992
User ID: 101
Multiplex ID: 19264
NT Create AndX Request (0xa2)
[FID: 0x2126]
Word Count (WCT): 24
AndXCommand: No further commands (0xff)
Reserved: 00
AndXOffset: 57054
Reserved: 00
File Name Len: 2
Create Flags: 0x00000010
.... .... .... .... .... .... ...1 .... = Extended Response: Extended responses required
.... .... .... .... .... .... .... 0... = Create Directory: Target of open can be a file
.... .... .... .... .... .... .... .0.. = Batch Oplock: Does NOT request batch oplock
.... .... .... .... .... .... .... ..0. = Exclusive Oplock: Does NOT request oplock
Root FID: 0x00000000
Access Mask: 0x00100001
0... .... .... .... .... .... .... .... = Generic Read: Generic read is NOT set
.0.. .... .... .... .... .... .... .... = Generic Write: Generic write is NOT set
..0. .... .... .... .... .... .... .... = Generic Execute: Generic execute is NOT set
...0 .... .... .... .... .... .... .... = Generic All: Generic all is NOT set
.... ..0. .... .... .... .... .... .... = Maximum Allowed: Maximum allowed is NOT set
.... ...0 .... .... .... .... .... .... = System Security: System security is NOT set
.... .... ...1 .... .... .... .... .... = Synchronize: Can wait on handle to SYNCHRONIZE on completion of I/O
.... .... .... 0... .... .... .... .... = Write Owner: Can NOT write owner (take ownership)
.... .... .... .0.. .... .... .... .... = Write DAC: Owner may NOT write to the DAC
.... .... .... ..0. .... .... .... .... = Read Control: Read access is NOT granted to owner, group and ACL of the SID
.... .... .... ...0 .... .... .... .... = Delete: NO delete access
.... .... .... .... .... ...0 .... .... = Write Attributes: NO write attributes access
.... .... .... .... .... .... 0... .... = Read Attributes: NO read attributes access
.... .... .... .... .... .... .0.. .... = Delete Child: NO delete child access
.... .... .... .... .... .... ..0. .... = Execute: NO execute access
.... .... .... .... .... .... ...0 .... = Write EA: NO write extended attributes access
.... .... .... .... .... .... .... 0... = Read EA: NO read extended attributes access
.... .... .... .... .... .... .... .0.. = Append: NO append access
.... .... .... .... .... .... .... ..0. = Write: NO write access
.... .... .... .... .... .... .... ...1 = Read: READ access
Allocation Size: 0
File Attributes: 0x00000000
.... .... .... .... .0.. .... .... .... = Encrypted: This is NOT an encrypted file
.... .... .... .... ..0. .... .... .... = Content Indexed: This file MAY be indexed by the content indexing service
.... .... .... .... ...0 .... .... .... = Offline: This file is NOT offline
.... .... .... .... .... 0... .... .... = Compressed: This is NOT a compressed file
.... .... .... .... .... .0.. .... .... = Reparse Point: This file does NOT have an associated reparse point
.... .... .... .... .... ..0. .... .... = Sparse: This is NOT a sparse file
.... .... .... .... .... ...0 .... .... = Temporary: This is NOT a temporary file
.... .... .... .... .... .... 0... .... = Normal: This file has some attribute set
.... .... .... .... .... .... .0.. .... = Device: This is NOT a device
.... .... .... .... .... .... ..0. .... = Archive: This file has NOT been modified since last archive
.... .... .... .... .... .... ...0 .... = Directory: This is NOT a directory
.... .... .... .... .... .... .... 0... = Volume ID: This is NOT a volume ID
.... .... .... .... .... .... .... .0.. = System: This is NOT a system file
.... .... .... .... .... .... .... ..0. = Hidden: This is NOT a hidden file
.... .... .... .... .... .... .... ...0 = Read Only: This file is NOT read only
Share Access: 0x00000007 SHARE_DELETE SHARE_WRITE SHARE_READ
.... .... .... .... .... .... .... .1.. = Delete: Object can be shared for DELETE
.... .... .... .... .... .... .... ..1. = Write: Object can be shared for WRITE
.... .... .... .... .... .... .... ...1 = Read: Object can be shared for READ
Disposition: Open (if file exists open it, else fail) (1)
Create Options: 0x00004001
.... .... .... .... .... .... .... ...1 = Directory: File being created/opened must be a directory
.... .... .... .... .... .... .... ..0. = Write Through: Writes need not flush buffered data before completing
.... .... .... .... .... .... .... .0.. = Sequential Only: The file might not only be accessed sequentially
.... .... .... .... .... .... .... 0... = Intermediate Buffering: Intermediate buffering is allowed
.... .... .... .... .... .... ...0 .... = Sync I/O Alert: Operations NOT necessarily synchronous
.... .... .... .... .... .... ..0. .... = Sync I/O Nonalert: Operations NOT necessarily synchronous
.... .... .... .... .... .... .0.. .... = Non-Directory: File being created/opened must be a directory
.... .... .... .... .... .... 0... .... = Create Tree Connection: Create Tree Connections is NOT set
.... .... .... .... .... ...0 .... .... = Complete If Oplocked: Complete if oplocked is NOT set
.... .... .... .... .... ..0. .... .... = No EA Knowledge: The client understands extended attributes
.... .... .... .... .... .0.. .... .... = 8.3 Only: The client understands long file names
.... .... .... .... .... 0... .... .... = Random Access: The file will not be accessed randomly
.... .... .... .... ...0 .... .... .... = Delete On Close: The file should not be deleted when it is closed
.... .... .... .... ..0. .... .... .... = Open By FileID: OpenByFileID is NOT set
.... .... .... .... .1.. .... .... .... = Backup Intent: This is a create with BACKUP INTENT
.... .... .... .... 0... .... .... .... = No Compression: Compression is allowed for Open/Create
.... .... ...0 .... .... .... .... .... = Reserve Opfilter: Reserve Opfilter is NOT set
.... .... ..0. .... .... .... .... .... = Open Reparse Point: Normal open
.... .... .0.. .... .... .... .... .... = Open No Recall: Open no recall is NOT set
.... .... 0... .... .... .... .... .... = Open For Free Space query: This is NOT an open for free space query
Impersonation: Impersonation (2)
Security Flags: 0x00
.... ...0 = Context Tracking: Security tracking mode is STATIC
.... ..0. = Effective Only: ALL aspects of the client's security context are available
Byte Count (BCC): 5
File Name: \
No. Time Source Destination Protocol Length Info
6 0.433126 10.1.0.121 10.33.5.130 SMB 193 NT Create AndX Response, FID: 0x2126
Frame 6: 193 bytes on wire (1544 bits), 193 bytes captured (1544 bits)
Ethernet II, Src: CheckPoi_3f:a9:5c (00:1c:7f:3f:a9:5c), Dst: Universa_47:01:18 (fc:4d:d4:47:01:18)
Internet Protocol Version 4, Src: 10.1.0.121 (10.1.0.121), Dst: 10.33.5.130 (10.33.5.130)
Transmission Control Protocol, Src Port: microsoft-ds (445), Dst Port: seagulllms (1291), Seq: 1, Ack: 93, Len: 139
NetBIOS Session Service
SMB (Server Message Block Protocol)
SMB Header
Server Component: SMB
[Response to: 5]
[Time from request: 0.000966000 seconds]
SMB Command: NT Create AndX (0xa2)
NT Status: STATUS_SUCCESS (0x00000000)
Flags: 0x88
1... .... = Request/Response: Message is a response to the client/redirector
.0.. .... = Notify: Notify client only on open
..0. .... = Oplocks: OpLock not requested/granted
...0 .... = Canonicalized Pathnames: Pathnames are not canonicalized
.... 1... = Case Sensitivity: Path names are caseless
.... ..0. = Receive Buffer Posted: Receive buffer has not been posted
.... ...0 = Lock and Read: Lock&Read, Write&Unlock are not supported
Flags2: 0xc803
1... .... .... .... = Unicode Strings: Strings are Unicode
.1.. .... .... .... = Error Code Type: Error codes are NT error codes
..0. .... .... .... = Execute-only Reads: Don't permit reads if execute-only
...0 .... .... .... = Dfs: Don't resolve pathnames with Dfs
.... 1... .... .... = Extended Security Negotiation: Extended security negotiation is supported
.... .0.. .... .... = Reparse Path: The request does not use a @GMT reparse path
.... .... .0.. .... = Long Names Used: Path names in request are not long file names
.... .... ...0 .... = Security Signatures Required: Security signatures are not required
.... .... .... 0... = Compressed: Compression is not requested
.... .... .... .0.. = Security Signatures: Security signatures are not supported
.... .... .... ..1. = Extended Attributes: Extended attributes are supported
.... .... .... ...1 = Long Names Allowed: Long file names are allowed in the response
Process ID High: 0
Signature: 0000000000000000
Reserved: 0000
Tree ID: 1
Process ID: 8992
User ID: 101
Multiplex ID: 19264
NT Create AndX Response (0xa2)
Word Count (WCT): 42
AndXCommand: No further commands (0xff)
Reserved: 00
AndXOffset: 0
Oplock level: No oplock granted (0)
FID: 0x2126 (\)
[Opened in: 6]
[Closed in: 9]
[File Name: \]
Create Flags: 0x00000010
.... .... .... .... .... .... ...1 .... = Extended Response: Extended responses required
.... .... .... .... .... .... .... 0... = Create Directory: Target of open can be a file
.... .... .... .... .... .... .... .0.. = Batch Oplock: Does NOT request batch oplock
.... .... .... .... .... .... .... ..0. = Exclusive Oplock: Does NOT request oplock
Access Mask: 0x00100001
0... .... .... .... .... .... .... .... = Generic Read: Generic read is NOT set
.0.. .... .... .... .... .... .... .... = Generic Write: Generic write is NOT set
..0. .... .... .... .... .... .... .... = Generic Execute: Generic execute is NOT set
...0 .... .... .... .... .... .... .... = Generic All: Generic all is NOT set
.... ..0. .... .... .... .... .... .... = Maximum Allowed: Maximum allowed is NOT set
.... ...0 .... .... .... .... .... .... = System Security: System security is NOT set
.... .... ...1 .... .... .... .... .... = Synchronize: Can wait on handle to SYNCHRONIZE on completion of I/O
.... .... .... 0... .... .... .... .... = Write Owner: Can NOT write owner (take ownership)
.... .... .... .0.. .... .... .... .... = Write DAC: Owner may NOT write to the DAC
.... .... .... ..0. .... .... .... .... = Read Control: Read access is NOT granted to owner, group and ACL of the SID
.... .... .... ...0 .... .... .... .... = Delete: NO delete access
.... .... .... .... .... ...0 .... .... = Write Attributes: NO write attributes access
.... .... .... .... .... .... 0... .... = Read Attributes: NO read attributes access
.... .... .... .... .... .... .0.. .... = Delete Child: NO delete child access
.... .... .... .... .... .... ..0. .... = Execute: NO execute access
.... .... .... .... .... .... ...0 .... = Write EA: NO write extended attributes access
.... .... .... .... .... .... .... 0... = Read EA: NO read extended attributes access
.... .... .... .... .... .... .... .0.. = Append: NO append access
.... .... .... .... .... .... .... ..0. = Write: NO write access
.... .... .... .... .... .... .... ...1 = Read: READ access
File Attributes: 0x00000000
.... .... .... .... .0.. .... .... .... = Encrypted: This is NOT an encrypted file
.... .... .... .... ..0. .... .... .... = Content Indexed: This file MAY be indexed by the content indexing service
.... .... .... .... ...0 .... .... .... = Offline: This file is NOT offline
.... .... .... .... .... 0... .... .... = Compressed: This is NOT a compressed file
.... .... .... .... .... .0.. .... .... = Reparse Point: This file does NOT have an associated reparse point
.... .... .... .... .... ..0. .... .... = Sparse: This is NOT a sparse file
.... .... .... .... .... ...0 .... .... = Temporary: This is NOT a temporary file
.... .... .... .... .... .... 0... .... = Normal: This file has some attribute set
.... .... .... .... .... .... .0.. .... = Device: This is NOT a device
.... .... .... .... .... .... ..0. .... = Archive: This file has NOT been modified since last archive
.... .... .... .... .... .... ...0 .... = Directory: This is NOT a directory
.... .... .... .... .... .... .... 0... = Volume ID: This is NOT a volume ID
.... .... .... .... .... .... .... .0.. = System: This is NOT a system file
.... .... .... .... .... .... .... ..0. = Hidden: This is NOT a hidden file
.... .... .... .... .... .... .... ...0 = Read Only: This file is NOT read only
Share Access: 0x00000007 SHARE_DELETE SHARE_WRITE SHARE_READ
.... .... .... .... .... .... .... .1.. = Delete: Object can be shared for DELETE
.... .... .... .... .... .... .... ..1. = Write: Object can be shared for WRITE
.... .... .... .... .... .... .... ...1 = Read: Object can be shared for READ
Create Options: 0x00004001
.... .... .... .... .... .... .... ...1 = Directory: File being created/opened must be a directory
.... .... .... .... .... .... .... ..0. = Write Through: Writes need not flush buffered data before completing
.... .... .... .... .... .... .... .0.. = Sequential Only: The file might not only be accessed sequentially
.... .... .... .... .... .... .... 0... = Intermediate Buffering: Intermediate buffering is allowed
.... .... .... .... .... .... ...0 .... = Sync I/O Alert: Operations NOT necessarily synchronous
.... .... .... .... .... .... ..0. .... = Sync I/O Nonalert: Operations NOT necessarily synchronous
.... .... .... .... .... .... .0.. .... = Non-Directory: File being created/opened must be a directory
.... .... .... .... .... .... 0... .... = Create Tree Connection: Create Tree Connections is NOT set
.... .... .... .... .... ...0 .... .... = Complete If Oplocked: Complete if oplocked is NOT set
.... .... .... .... .... ..0. .... .... = No EA Knowledge: The client understands extended attributes
.... .... .... .... .... .0.. .... .... = 8.3 Only: The client understands long file names
.... .... .... .... .... 0... .... .... = Random Access: The file will not be accessed randomly
.... .... .... .... ...0 .... .... .... = Delete On Close: The file should not be deleted when it is closed
.... .... .... .... ..0. .... .... .... = Open By FileID: OpenByFileID is NOT set
.... .... .... .... .1.. .... .... .... = Backup Intent: This is a create with BACKUP INTENT
.... .... .... .... 0... .... .... .... = No Compression: Compression is allowed for Open/Create
.... .... ...0 .... .... .... .... .... = Reserve Opfilter: Reserve Opfilter is NOT set
.... .... ..0. .... .... .... .... .... = Open Reparse Point: Normal open
.... .... .0.. .... .... .... .... .... = Open No Recall: Open no recall is NOT set
.... .... 0... .... .... .... .... .... = Open For Free Space query: This is NOT an open for free space query
[Disposition: Open (if file exists open it, else fail) (1)]
Create action: The file existed and was opened (1)
Created: Aug 19, 2015 09:12:31.000000000 Jerusalem Daylight Time
Last Access: Aug 19, 2015 09:16:06.000000000 Jerusalem Daylight Time
Last Write: Aug 19, 2015 09:12:31.000000000 Jerusalem Daylight Time
Change: Aug 19, 2015 09:12:31.000000000 Jerusalem Daylight Time
File Attributes: 0x00000010
.... .... .... .... .0.. .... .... .... = Encrypted: This is NOT an encrypted file
.... .... .... .... ..0. .... .... .... = Content Indexed: This file MAY be indexed by the content indexing service
.... .... .... .... ...0 .... .... .... = Offline: This file is NOT offline
.... .... .... .... .... 0... .... .... = Compressed: This is NOT a compressed file
.... .... .... .... .... .0.. .... .... = Reparse Point: This file does NOT have an associated reparse point
.... .... .... .... .... ..0. .... .... = Sparse: This is NOT a sparse file
.... .... .... .... .... ...0 .... .... = Temporary: This is NOT a temporary file
.... .... .... .... .... .... 0... .... = Normal: This file has some attribute set
.... .... .... .... .... .... .0.. .... = Device: This is NOT a device
.... .... .... .... .... .... ..0. .... = Archive: This file has NOT been modified since last archive
.... .... .... .... .... .... ...1 .... = Directory: This is a DIRECTORY
.... .... .... .... .... .... .... 0... = Volume ID: This is NOT a volume ID
.... .... .... .... .... .... .... .0.. = System: This is NOT a system file
.... .... .... .... .... .... .... ..0. = Hidden: This is NOT a hidden file
.... .... .... .... .... .... .... ...0 = Read Only: This file is NOT read only
Allocation Size: 0
End Of File: 0
File Type: Disk file or directory (0)
IPC State: 0x0007
0... .... .... .... = Nonblocking: Reads/writes block if no data available
.0.. .... .... .... = Endpoint: Consumer end of pipe (0)
.... 00.. .... .... = Pipe Type: Byte stream pipe (0)
.... ..00 .... .... = Read Mode: Read pipe as a byte stream (0)
.... .... 0000 0111 = Icount: 7
Is Directory: This is a DIRECTORY (1)
Volume GUID: 00000000-0000-0000-0000-000000000000
Server unique 64-bit file ID: 0x0000000000000000
Maximal Access Rights
Access Mask: 0x001f01ff
0... .... .... .... .... .... .... .... = Generic Read: Generic read is NOT set
.0.. .... .... .... .... .... .... .... = Generic Write: Generic write is NOT set
..0. .... .... .... .... .... .... .... = Generic Execute: Generic execute is NOT set
...0 .... .... .... .... .... .... .... = Generic All: Generic all is NOT set
.... ..0. .... .... .... .... .... .... = Maximum Allowed: Maximum allowed is NOT set
.... ...0 .... .... .... .... .... .... = System Security: System security is NOT set
.... .... ...1 .... .... .... .... .... = Synchronize: Can wait on handle to SYNCHRONIZE on completion of I/O
.... .... .... 1... .... .... .... .... = Write Owner: Can WRITE OWNER (take ownership)
.... .... .... .1.. .... .... .... .... = Write DAC: OWNER may WRITE the DAC
.... .... .... ..1. .... .... .... .... = Read Control: READ ACCESS to owner, group and ACL of the SID
.... .... .... ...1 .... .... .... .... = Delete: DELETE access
.... .... .... .... .... ...1 .... .... = Write Attributes: WRITE ATTRIBUTES access
.... .... .... .... .... .... 1... .... = Read Attributes: READ ATTRIBUTES access
.... .... .... .... .... .... .1.. .... = Delete Child: DELETE CHILD access
.... .... .... .... .... .... ..1. .... = Execute: EXECUTE access
.... .... .... .... .... .... ...1 .... = Write EA: WRITE EXTENDED ATTRIBUTES access
.... .... .... .... .... .... .... 1... = Read EA: READ EXTENDED ATTRIBUTES access
.... .... .... .... .... .... .... .1.. = Append: APPEND access
.... .... .... .... .... .... .... ..1. = Write: WRITE access
.... .... .... .... .... .... .... ...1 = Read: READ access
Guest Maximal Access Rights
Access Mask: 0x00000000
0... .... .... .... .... .... .... .... = Generic Read: Generic read is NOT set
.0.. .... .... .... .... .... .... .... = Generic Write: Generic write is NOT set
..0. .... .... .... .... .... .... .... = Generic Execute: Generic execute is NOT set
...0 .... .... .... .... .... .... .... = Generic All: Generic all is NOT set
.... ..0. .... .... .... .... .... .... = Maximum Allowed: Maximum allowed is NOT set
.... ...0 .... .... .... .... .... .... = System Security: System security is NOT set
.... .... ...0 .... .... .... .... .... = Synchronize: Can NOT wait on handle to synchronize on completion of I/O
.... .... .... 0... .... .... .... .... = Write Owner: Can NOT write owner (take ownership)
.... .... .... .0.. .... .... .... .... = Write DAC: Owner may NOT write to the DAC
.... .... .... ..0. .... .... .... .... = Read Control: Read access is NOT granted to owner, group and ACL of the SID
.... .... .... ...0 .... .... .... .... = Delete: NO delete access
.... .... .... .... .... ...0 .... .... = Write Attributes: NO write attributes access
.... .... .... .... .... .... 0... .... = Read Attributes: NO read attributes access
.... .... .... .... .... .... .0.. .... = Delete Child: NO delete child access
.... .... .... .... .... .... ..0. .... = Execute: NO execute access
.... .... .... .... .... .... ...0 .... = Write EA: NO write extended attributes access
.... .... .... .... .... .... .... 0... = Read EA: NO read extended attributes access
.... .... .... .... .... .... .... .0.. = Append: NO append access
.... .... .... .... .... .... .... ..0. = Write: NO write access
.... .... .... .... .... .... .... ...0 = Read: NO read access
Byte Count (BCC): 0
No. Time Source Destination Protocol Length Info
7 0.433259 10.33.5.130 10.1.0.121 SMB 144 Trans2 Request, FIND_FIRST2, Pattern: \a
Frame 7: 144 bytes on wire (1152 bits), 144 bytes captured (1152 bits)
Ethernet II, Src: Universa_47:01:18 (fc:4d:d4:47:01:18), Dst: CheckPoi_3f:a9:5c (00:1c:7f:3f:a9:5c)
Internet Protocol Version 4, Src: 10.33.5.130 (10.33.5.130), Dst: 10.1.0.121 (10.1.0.121)
Transmission Control Protocol, Src Port: seagulllms (1291), Dst Port: microsoft-ds (445), Seq: 93, Ack: 140, Len: 90
NetBIOS Session Service
SMB (Server Message Block Protocol)
SMB Header
Server Component: SMB
[Response in: 8]
SMB Command: Trans2 (0x32)
NT Status: STATUS_SUCCESS (0x00000000)
Flags: 0x18
0... .... = Request/Response: Message is a request to the server
.0.. .... = Notify: Notify client only on open
..0. .... = Oplocks: OpLock not requested/granted
...1 .... = Canonicalized Pathnames: Pathnames are canonicalized
.... 1... = Case Sensitivity: Path names are caseless
.... ..0. = Receive Buffer Posted: Receive buffer has not been posted
.... ...0 = Lock and Read: Lock&Read, Write&Unlock are not supported
Flags2: 0xc807
1... .... .... .... = Unicode Strings: Strings are Unicode
.1.. .... .... .... = Error Code Type: Error codes are NT error codes
..0. .... .... .... = Execute-only Reads: Don't permit reads if execute-only
...0 .... .... .... = Dfs: Don't resolve pathnames with Dfs
.... 1... .... .... = Extended Security Negotiation: Extended security negotiation is supported
.... .0.. .... .... = Reparse Path: The request does not use a @GMT reparse path
.... .... .0.. .... = Long Names Used: Path names in request are not long file names
.... .... ...0 .... = Security Signatures Required: Security signatures are not required
.... .... .... 0... = Compressed: Compression is not requested
.... .... .... .1.. = Security Signatures: Security signatures are supported
.... .... .... ..1. = Extended Attributes: Extended attributes are supported
.... .... .... ...1 = Long Names Allowed: Long file names are allowed in the response
Process ID High: 0
Signature: 0000000000000000
Reserved: 0000
Tree ID: 1
Process ID: 8992
User ID: 101
Multiplex ID: 19328
Trans2 Request (0x32)
Word Count (WCT): 15
Total Parameter Count: 18
Total Data Count: 0
Max Parameter Count: 10
Max Data Count: 16384
Max Setup Count: 0
Reserved: 00
Flags: 0x0000
.... .... .... ..0. = One Way Transaction: Two way transaction
.... .... .... ...0 = Disconnect TID: Do NOT disconnect TID
Timeout: Return immediately (0)
Reserved: 0000
Parameter Count: 18
Parameter Offset: 68
Data Count: 0
Data Offset: 0
Setup Count: 1
Reserved: 00
Subcommand: FIND_FIRST2 (0x0001)
Byte Count (BCC): 21
Padding: 000000
FIND_FIRST2 Parameters
Search Attributes: 0x0016
.... .... .... ...0 = Read Only: Do NOT include read only files in search results
.... .... .... ..1. = Hidden: Include HIDDEN files in search results
.... .... .... .1.. = System: Include SYSTEM files in search results
.... .... .... 0... = Volume ID: Do NOT include volume IDs in search results
.... .... ...1 .... = Directory: Include DIRECTORIES in search results
.... .... ..0. .... = Archive: Do NOT include archive files in search results
Search Count: 1366
Flags: 0x0017
.... .... ...1 .... = Backup Intent: Find WITH backup intent
.... .... .... 0... = Continue: New search, do NOT continue from previous position
.... .... .... .1.. = Resume: Return RESUME keys
.... .... .... ..1. = Close on EOS: CLOSE search if END OF SEARCH is reached
.... .... .... ...1 = Close: CLOSE search after this request
Level of Interest: Find File Both Directory Info (260)
Storage Type: 0
Search Pattern: \a
No. Time Source Destination Protocol Length Info
8 0.434387 10.1.0.121 10.33.5.130 SMB 222 Trans2 Response, FIND_FIRST2, Files: a
Frame 8: 222 bytes on wire (1776 bits), 222 bytes captured (1776 bits)
Ethernet II, Src: CheckPoi_3f:a9:5c (00:1c:7f:3f:a9:5c), Dst: Universa_47:01:18 (fc:4d:d4:47:01:18)
Internet Protocol Version 4, Src: 10.1.0.121 (10.1.0.121), Dst: 10.33.5.130 (10.33.5.130)
Transmission Control Protocol, Src Port: microsoft-ds (445), Dst Port: seagulllms (1291), Seq: 140, Ack: 183, Len: 168
NetBIOS Session Service
SMB (Server Message Block Protocol)
SMB Header
Server Component: SMB
[Response to: 7]
[Time from request: 0.001128000 seconds]
SMB Command: Trans2 (0x32)
NT Status: STATUS_SUCCESS (0x00000000)
Flags: 0x88
1... .... = Request/Response: Message is a response to the client/redirector
.0.. .... = Notify: Notify client only on open
..0. .... = Oplocks: OpLock not requested/granted
...0 .... = Canonicalized Pathnames: Pathnames are not canonicalized
.... 1... = Case Sensitivity: Path names are caseless
.... ..0. = Receive Buffer Posted: Receive buffer has not been posted
.... ...0 = Lock and Read: Lock&Read, Write&Unlock are not supported
Flags2: 0xc803
1... .... .... .... = Unicode Strings: Strings are Unicode
.1.. .... .... .... = Error Code Type: Error codes are NT error codes
..0. .... .... .... = Execute-only Reads: Don't permit reads if execute-only
...0 .... .... .... = Dfs: Don't resolve pathnames with Dfs
.... 1... .... .... = Extended Security Negotiation: Extended security negotiation is supported
.... .0.. .... .... = Reparse Path: The request does not use a @GMT reparse path
.... .... .0.. .... = Long Names Used: Path names in request are not long file names
.... .... ...0 .... = Security Signatures Required: Security signatures are not required
.... .... .... 0... = Compressed: Compression is not requested
.... .... .... .0.. = Security Signatures: Security signatures are not supported
.... .... .... ..1. = Extended Attributes: Extended attributes are supported
.... .... .... ...1 = Long Names Allowed: Long file names are allowed in the response
Process ID High: 0
Signature: 0000000000000000
Reserved: 0000
Tree ID: 1
Process ID: 8992
User ID: 101
Multiplex ID: 19328
Trans2 Response (0x32)
Subcommand: FIND_FIRST2 (0x0001)
[Level of Interest: Find File Both Directory Info (260)]
[Search Pattern: \a]
Word Count (WCT): 10
Total Parameter Count: 10
Total Data Count: 96
Reserved: 0000
Parameter Count: 10
Parameter Offset: 56
Parameter Displacement: 0
Data Count: 96
Data Offset: 68
Data Displacement: 0
Setup Count: 0
Reserved: 00
Byte Count (BCC): 109
Padding: 00
FIND_FIRST2 Parameters
Level of Interest: Find File Both Directory Info (260)
Search ID: 0xfffd
Search Count: 1
End Of Search: 1
EA Error offset: 0
Last Name Offset: 0
Padding: 0000
FIND_FIRST2 Data
Find File Both Directory Info File: a
Next Entry Offset: 96
File Index: 0
Created: Aug 19, 2015 09:12:42.000000000 Jerusalem Daylight Time
Last Access: Aug 19, 2015 09:15:15.000000000 Jerusalem Daylight Time
Last Write: Aug 19, 2015 09:12:42.000000000 Jerusalem Daylight Time
Change: Aug 19, 2015 09:12:42.000000000 Jerusalem Daylight Time
End Of File: 0
Allocation Size: 0
File Attributes: 0x00000010
.... .... .... .... .0.. .... .... .... = Encrypted: This is NOT an encrypted file
.... .... .... .... ..0. .... .... .... = Content Indexed: This file MAY be indexed by the content indexing service
.... .... .... .... ...0 .... .... .... = Offline: This file is NOT offline
.... .... .... .... .... 0... .... .... = Compressed: This is NOT a compressed file
.... .... .... .... .... .0.. .... .... = Reparse Point: This file does NOT have an associated reparse point
.... .... .... .... .... ..0. .... .... = Sparse: This is NOT a sparse file
.... .... .... .... .... ...0 .... .... = Temporary: This is NOT a temporary file
.... .... .... .... .... .... 0... .... = Normal: This file has some attribute set
.... .... .... .... .... .... .0.. .... = Device: This is NOT a device
.... .... .... .... .... .... ..0. .... = Archive: This file has NOT been modified since last archive
.... .... .... .... .... .... ...1 .... = Directory: This is a DIRECTORY
.... .... .... .... .... .... .... 0... = Volume ID: This is NOT a volume ID
.... .... .... .... .... .... .... .0.. = System: This is NOT a system file
.... .... .... .... .... .... .... ..0. = Hidden: This is NOT a hidden file
.... .... .... .... .... .... .... ...0 = Read Only: This file is NOT read only
File Name Len: 2
EA List Length: 0
Short File Name Len: 0
Reserved: 00
Short File Name:
File Name: a
No. Time Source Destination Protocol Length Info
9 0.435939 10.33.5.130 10.1.0.121 SMB 99 Close Request, FID: 0x2126
Frame 9: 99 bytes on wire (792 bits), 99 bytes captured (792 bits)
Ethernet II, Src: Universa_47:01:18 (fc:4d:d4:47:01:18), Dst: CheckPoi_3f:a9:5c (00:1c:7f:3f:a9:5c)
Internet Protocol Version 4, Src: 10.33.5.130 (10.33.5.130), Dst: 10.1.0.121 (10.1.0.121)
Transmission Control Protocol, Src Port: seagulllms (1291), Dst Port: microsoft-ds (445), Seq: 183, Ack: 308, Len: 45
NetBIOS Session Service
SMB (Server Message Block Protocol)
SMB Header
Server Component: SMB
[Response in: 10]
SMB Command: Close (0x04)
NT Status: STATUS_SUCCESS (0x00000000)
Flags: 0x18
0... .... = Request/Response: Message is a request to the server
.0.. .... = Notify: Notify client only on open
..0. .... = Oplocks: OpLock not requested/granted
...1 .... = Canonicalized Pathnames: Pathnames are canonicalized
.... 1... = Case Sensitivity: Path names are caseless
.... ..0. = Receive Buffer Posted: Receive buffer has not been posted
.... ...0 = Lock and Read: Lock&Read, Write&Unlock are not supported
Flags2: 0xc807
1... .... .... .... = Unicode Strings: Strings are Unicode
.1.. .... .... .... = Error Code Type: Error codes are NT error codes
..0. .... .... .... = Execute-only Reads: Don't permit reads if execute-only
...0 .... .... .... = Dfs: Don't resolve pathnames with Dfs
.... 1... .... .... = Extended Security Negotiation: Extended security negotiation is supported
.... .0.. .... .... = Reparse Path: The request does not use a @GMT reparse path
.... .... .0.. .... = Long Names Used: Path names in request are not long file names
.... .... ...0 .... = Security Signatures Required: Security signatures are not required
.... .... .... 0... = Compressed: Compression is not requested
.... .... .... .1.. = Security Signatures: Security signatures are supported
.... .... .... ..1. = Extended Attributes: Extended attributes are supported
.... .... .... ...1 = Long Names Allowed: Long file names are allowed in the response
Process ID High: 0
Signature: 0000000000000000
Reserved: 0000
Tree ID: 1
Process ID: 65279
User ID: 101
Multiplex ID: 19392
Close Request (0x04)
Word Count (WCT): 3
FID: 0x2126 (\)
[Opened in: 6]
[Closed in: 9]
[File Name: \]
Create Flags: 0x00000010
.... .... .... .... .... .... ...1 .... = Extended Response: Extended responses required
.... .... .... .... .... .... .... 0... = Create Directory: Target of open can be a file
.... .... .... .... .... .... .... .0.. = Batch Oplock: Does NOT request batch oplock
.... .... .... .... .... .... .... ..0. = Exclusive Oplock: Does NOT request oplock
Access Mask: 0x00100001
0... .... .... .... .... .... .... .... = Generic Read: Generic read is NOT set
.0.. .... .... .... .... .... .... .... = Generic Write: Generic write is NOT set
..0. .... .... .... .... .... .... .... = Generic Execute: Generic execute is NOT set
...0 .... .... .... .... .... .... .... = Generic All: Generic all is NOT set
.... ..0. .... .... .... .... .... .... = Maximum Allowed: Maximum allowed is NOT set
.... ...0 .... .... .... .... .... .... = System Security: System security is NOT set
.... .... ...1 .... .... .... .... .... = Synchronize: Can wait on handle to SYNCHRONIZE on completion of I/O
.... .... .... 0... .... .... .... .... = Write Owner: Can NOT write owner (take ownership)
.... .... .... .0.. .... .... .... .... = Write DAC: Owner may NOT write to the DAC
.... .... .... ..0. .... .... .... .... = Read Control: Read access is NOT granted to owner, group and ACL of the SID
.... .... .... ...0 .... .... .... .... = Delete: NO delete access
.... .... .... .... .... ...0 .... .... = Write Attributes: NO write attributes access
.... .... .... .... .... .... 0... .... = Read Attributes: NO read attributes access
.... .... .... .... .... .... .0.. .... = Delete Child: NO delete child access
.... .... .... .... .... .... ..0. .... = Execute: NO execute access
.... .... .... .... .... .... ...0 .... = Write EA: NO write extended attributes access
.... .... .... .... .... .... .... 0... = Read EA: NO read extended attributes access
.... .... .... .... .... .... .... .0.. = Append: NO append access
.... .... .... .... .... .... .... ..0. = Write: NO write access
.... .... .... .... .... .... .... ...1 = Read: READ access
File Attributes: 0x00000000
.... .... .... .... .0.. .... .... .... = Encrypted: This is NOT an encrypted file
.... .... .... .... ..0. .... .... .... = Content Indexed: This file MAY be indexed by the content indexing service
.... .... .... .... ...0 .... .... .... = Offline: This file is NOT offline
.... .... .... .... .... 0... .... .... = Compressed: This is NOT a compressed file
.... .... .... .... .... .0.. .... .... = Reparse Point: This file does NOT have an associated reparse point
.... .... .... .... .... ..0. .... .... = Sparse: This is NOT a sparse file
.... .... .... .... .... ...0 .... .... = Temporary: This is NOT a temporary file
.... .... .... .... .... .... 0... .... = Normal: This file has some attribute set
.... .... .... .... .... .... .0.. .... = Device: This is NOT a device
.... .... .... .... .... .... ..0. .... = Archive: This file has NOT been modified since last archive
.... .... .... .... .... .... ...0 .... = Directory: This is NOT a directory
.... .... .... .... .... .... .... 0... = Volume ID: This is NOT a volume ID
.... .... .... .... .... .... .... .0.. = System: This is NOT a system file
.... .... .... .... .... .... .... ..0. = Hidden: This is NOT a hidden file
.... .... .... .... .... .... .... ...0 = Read Only: This file is NOT read only
Share Access: 0x00000007 SHARE_DELETE SHARE_WRITE SHARE_READ
.... .... .... .... .... .... .... .1.. = Delete: Object can be shared for DELETE
.... .... .... .... .... .... .... ..1. = Write: Object can be shared for WRITE
.... .... .... .... .... .... .... ...1 = Read: Object can be shared for READ
Create Options: 0x00004001
.... .... .... .... .... .... .... ...1 = Directory: File being created/opened must be a directory
.... .... .... .... .... .... .... ..0. = Write Through: Writes need not flush buffered data before completing
.... .... .... .... .... .... .... .0.. = Sequential Only: The file might not only be accessed sequentially
.... .... .... .... .... .... .... 0... = Intermediate Buffering: Intermediate buffering is allowed
.... .... .... .... .... .... ...0 .... = Sync I/O Alert: Operations NOT necessarily synchronous
.... .... .... .... .... .... ..0. .... = Sync I/O Nonalert: Operations NOT necessarily synchronous
.... .... .... .... .... .... .0.. .... = Non-Directory: File being created/opened must be a directory
.... .... .... .... .... .... 0... .... = Create Tree Connection: Create Tree Connections is NOT set
.... .... .... .... .... ...0 .... .... = Complete If Oplocked: Complete if oplocked is NOT set
.... .... .... .... .... ..0. .... .... = No EA Knowledge: The client understands extended attributes
.... .... .... .... .... .0.. .... .... = 8.3 Only: The client understands long file names
.... .... .... .... .... 0... .... .... = Random Access: The file will not be accessed randomly
.... .... .... .... ...0 .... .... .... = Delete On Close: The file should not be deleted when it is closed
.... .... .... .... ..0. .... .... .... = Open By FileID: OpenByFileID is NOT set
.... .... .... .... .1.. .... .... .... = Backup Intent: This is a create with BACKUP INTENT
.... .... .... .... 0... .... .... .... = No Compression: Compression is allowed for Open/Create
.... .... ...0 .... .... .... .... .... = Reserve Opfilter: Reserve Opfilter is NOT set
.... .... ..0. .... .... .... .... .... = Open Reparse Point: Normal open
.... .... .0.. .... .... .... .... .... = Open No Recall: Open no recall is NOT set
.... .... 0... .... .... .... .... .... = Open For Free Space query: This is NOT an open for free space query
[Disposition: Open (if file exists open it, else fail) (1)]
Last Write: No time specified (0xffffffff)
Byte Count (BCC): 0
No. Time Source Destination Protocol Length Info
10 0.437005 10.1.0.121 10.33.5.130 SMB 93 Close Response, FID: 0x2126
Frame 10: 93 bytes on wire (744 bits), 93 bytes captured (744 bits)
Ethernet II, Src: CheckPoi_3f:a9:5c (00:1c:7f:3f:a9:5c), Dst: Universa_47:01:18 (fc:4d:d4:47:01:18)
Internet Protocol Version 4, Src: 10.1.0.121 (10.1.0.121), Dst: 10.33.5.130 (10.33.5.130)
Transmission Control Protocol, Src Port: microsoft-ds (445), Dst Port: seagulllms (1291), Seq: 308, Ack: 228, Len: 39
NetBIOS Session Service
SMB (Server Message Block Protocol)
SMB Header
Server Component: SMB
[Response to: 9]
[Time from request: 0.001066000 seconds]
SMB Command: Close (0x04)
NT Status: STATUS_SUCCESS (0x00000000)
Flags: 0x88
1... .... = Request/Response: Message is a response to the client/redirector
.0.. .... = Notify: Notify client only on open
..0. .... = Oplocks: OpLock not requested/granted
...0 .... = Canonicalized Pathnames: Pathnames are not canonicalized
.... 1... = Case Sensitivity: Path names are caseless
.... ..0. = Receive Buffer Posted: Receive buffer has not been posted
.... ...0 = Lock and Read: Lock&Read, Write&Unlock are not supported
Flags2: 0xc803
1... .... .... .... = Unicode Strings: Strings are Unicode
.1.. .... .... .... = Error Code Type: Error codes are NT error codes
..0. .... .... .... = Execute-only Reads: Don't permit reads if execute-only
...0 .... .... .... = Dfs: Don't resolve pathnames with Dfs
.... 1... .... .... = Extended Security Negotiation: Extended security negotiation is supported
.... .0.. .... .... = Reparse Path: The request does not use a @GMT reparse path
.... .... .0.. .... = Long Names Used: Path names in request are not long file names
.... .... ...0 .... = Security Signatures Required: Security signatures are not required
.... .... .... 0... = Compressed: Compression is not requested
.... .... .... .0.. = Security Signatures: Security signatures are not supported
.... .... .... ..1. = Extended Attributes: Extended attributes are supported
.... .... .... ...1 = Long Names Allowed: Long file names are allowed in the response
Process ID High: 0
Signature: 0000000000000000
Reserved: 0000
Tree ID: 1
Process ID: 65279
User ID: 101
Multiplex ID: 19392
Close Response (0x04)
[FID: 0x2126 (\)]
[Opened in: 6]
[Closed in: 9]
[File Name: \]
Create Flags: 0x00000010
.... .... .... .... .... .... ...1 .... = Extended Response: Extended responses required
.... .... .... .... .... .... .... 0... = Create Directory: Target of open can be a file
.... .... .... .... .... .... .... .0.. = Batch Oplock: Does NOT request batch oplock
.... .... .... .... .... .... .... ..0. = Exclusive Oplock: Does NOT request oplock
Access Mask: 0x00100001
0... .... .... .... .... .... .... .... = Generic Read: Generic read is NOT set
.0.. .... .... .... .... .... .... .... = Generic Write: Generic write is NOT set
..0. .... .... .... .... .... .... .... = Generic Execute: Generic execute is NOT set
...0 .... .... .... .... .... .... .... = Generic All: Generic all is NOT set
.... ..0. .... .... .... .... .... .... = Maximum Allowed: Maximum allowed is NOT set
.... ...0 .... .... .... .... .... .... = System Security: System security is NOT set
.... .... ...1 .... .... .... .... .... = Synchronize: Can wait on handle to SYNCHRONIZE on completion of I/O
.... .... .... 0... .... .... .... .... = Write Owner: Can NOT write owner (take ownership)
.... .... .... .0.. .... .... .... .... = Write DAC: Owner may NOT write to the DAC
.... .... .... ..0. .... .... .... .... = Read Control: Read access is NOT granted to owner, group and ACL of the SID
.... .... .... ...0 .... .... .... .... = Delete: NO delete access
.... .... .... .... .... ...0 .... .... = Write Attributes: NO write attributes access
.... .... .... .... .... .... 0... .... = Read Attributes: NO read attributes access
.... .... .... .... .... .... .0.. .... = Delete Child: NO delete child access
.... .... .... .... .... .... ..0. .... = Execute: NO execute access
.... .... .... .... .... .... ...0 .... = Write EA: NO write extended attributes access
.... .... .... .... .... .... .... 0... = Read EA: NO read extended attributes access
.... .... .... .... .... .... .... .0.. = Append: NO append access
.... .... .... .... .... .... .... ..0. = Write: NO write access
.... .... .... .... .... .... .... ...1 = Read: READ access
File Attributes: 0x00000000
.... .... .... .... .0.. .... .... .... = Encrypted: This is NOT an encrypted file
.... .... .... .... ..0. .... .... .... = Content Indexed: This file MAY be indexed by the content indexing service
.... .... .... .... ...0 .... .... .... = Offline: This file is NOT offline
.... .... .... .... .... 0... .... .... = Compressed: This is NOT a compressed file
.... .... .... .... .... .0.. .... .... = Reparse Point: This file does NOT have an associated reparse point
.... .... .... .... .... ..0. .... .... = Sparse: This is NOT a sparse file
.... .... .... .... .... ...0 .... .... = Temporary: This is NOT a temporary file
.... .... .... .... .... .... 0... .... = Normal: This file has some attribute set
.... .... .... .... .... .... .0.. .... = Device: This is NOT a device
.... .... .... .... .... .... ..0. .... = Archive: This file has NOT been modified since last archive
.... .... .... .... .... .... ...0 .... = Directory: This is NOT a directory
.... .... .... .... .... .... .... 0... = Volume ID: This is NOT a volume ID
.... .... .... .... .... .... .... .0.. = System: This is NOT a system file
.... .... .... .... .... .... .... ..0. = Hidden: This is NOT a hidden file
.... .... .... .... .... .... .... ...0 = Read Only: This file is NOT read only
Share Access: 0x00000007 SHARE_DELETE SHARE_WRITE SHARE_READ
.... .... .... .... .... .... .... .1.. = Delete: Object can be shared for DELETE
.... .... .... .... .... .... .... ..1. = Write: Object can be shared for WRITE
.... .... .... .... .... .... .... ...1 = Read: Object can be shared for READ
Create Options: 0x00004001
.... .... .... .... .... .... .... ...1 = Directory: File being created/opened must be a directory
.... .... .... .... .... .... .... ..0. = Write Through: Writes need not flush buffered data before completing
.... .... .... .... .... .... .... .0.. = Sequential Only: The file might not only be accessed sequentially
.... .... .... .... .... .... .... 0... = Intermediate Buffering: Intermediate buffering is allowed
.... .... .... .... .... .... ...0 .... = Sync I/O Alert: Operations NOT necessarily synchronous
.... .... .... .... .... .... ..0. .... = Sync I/O Nonalert: Operations NOT necessarily synchronous
.... .... .... .... .... .... .0.. .... = Non-Directory: File being created/opened must be a directory
.... .... .... .... .... .... 0... .... = Create Tree Connection: Create Tree Connections is NOT set
.... .... .... .... .... ...0 .... .... = Complete If Oplocked: Complete if oplocked is NOT set
.... .... .... .... .... ..0. .... .... = No EA Knowledge: The client understands extended attributes
.... .... .... .... .... .0.. .... .... = 8.3 Only: The client understands long file names
.... .... .... .... .... 0... .... .... = Random Access: The file will not be accessed randomly
.... .... .... .... ...0 .... .... .... = Delete On Close: The file should not be deleted when it is closed
.... .... .... .... ..0. .... .... .... = Open By FileID: OpenByFileID is NOT set
.... .... .... .... .1.. .... .... .... = Backup Intent: This is a create with BACKUP INTENT
.... .... .... .... 0... .... .... .... = No Compression: Compression is allowed for Open/Create
.... .... ...0 .... .... .... .... .... = Reserve Opfilter: Reserve Opfilter is NOT set
.... .... ..0. .... .... .... .... .... = Open Reparse Point: Normal open
.... .... .0.. .... .... .... .... .... = Open No Recall: Open no recall is NOT set
.... .... 0... .... .... .... .... .... = Open For Free Space query: This is NOT an open for free space query
[Disposition: Open (if file exists open it, else fail) (1)]
Word Count (WCT): 0
Byte Count (BCC): 0
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment