Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

[bug] Miscalculation of Data Reduction in rare cases #640

Closed
YamatoSecurity opened this issue Aug 3, 2022 · 3 comments · Fixed by #645
Closed

[bug] Miscalculation of Data Reduction in rare cases #640

YamatoSecurity opened this issue Aug 3, 2022 · 3 comments · Fixed by #645
Assignees
@hitenkoku
Labels
bug Something isn't working
Milestone
v1.5.0

Comments

@YamatoSecurity
Copy link
Collaborator

Describe the bug
./target/release/hayabusa -f ../hayabusa-sample-evtx/DeepBlueCLI/password-spray.evtx -o output.csv
上記のようにpassword-spray.evtxをスキャンした際に、Results SummaryでData reduction: 340282366920938463463374607431768211454 events (115349954888453711305695546525052043264.00%)が出力されます。

Environment (please complete the following information):

  • OS: mac
  • hayabusa version: 1.4.5-dev, 1.4.2, 1.4.1でも同じ現象が起こっています。
@YamatoSecurity YamatoSecurity added the bug Something isn't working label Aug 3, 2022
@YamatoSecurity YamatoSecurity changed the title [bug] Miscalculation of Data Reduction [bug] Miscalculation of Data Reduction in rare cases Aug 3, 2022
@hitenkoku hitenkoku self-assigned this Aug 3, 2022
@hitenkoku hitenkoku added the under-investigation under investigation to develop label Aug 3, 2022
@hitenkoku hitenkoku added this to the v1.5.0 milestone Aug 3, 2022
@hitenkoku
Copy link
Collaborator

原因がわかりました。
すべてのレコード数のカウントは295になっていて、検知したレコード数が297となっていたため、負の数になってしまったためオーバーフローで値がおかしくなってしまったようです。すべてのレコード数のカウントがおかしい可能性があるので確認します。

@hitenkoku
Copy link
Collaborator

hitenkoku commented Aug 5, 2022
edited
Loading

念のためレコード数をイベントビュアーでカウントを確認してみましたが295で合っていました。すべてのレコード数のカウントは間違っていませんでした。失礼いたしました。
検知したレコード数の方のカウントが間違っているようなので確認致します。

@hitenkoku
Copy link
Collaborator

hitenkoku commented Aug 5, 2022
edited
Loading

aggregation conditionの検知が2件あり、すべてのレコードに対して検知が入っているうえでこのaggregation condition検知2件が入っているので、検知件数はレコードのトータル数より多くなってしまっているようです。

なので、一旦detailsの頭に[condition]が書いてあるものはreductionの集計から外すようにします。

hitenkoku added a commit that referenced this issue Aug 5, 2022
@hitenkoku
Fixed: Removed aggregation condition detection from data reduction co…
887b734 
…unt #640
hitenkoku added a commit that referenced this issue Aug 5, 2022
@hitenkoku
updated changelog #640
4b92dfe
@hitenkoku hitenkoku linked a pull request Aug 5, 2022 that will close this issue
Fixed miscalculation of data reduction in rare cases #645
Merged
@hitenkoku hitenkoku mentioned this issue Aug 5, 2022
Merged
hitenkoku added a commit that referenced this issue Aug 5, 2022
@hitenkoku
updated changelog #640
a03a723
@hitenkoku hitenkoku removed the under-investigation under investigation to develop label Aug 5, 2022
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Assignees

@hitenkoku hitenkoku

Labels
bug Something isn't working
Projects
None yet
Milestone
v1.5.0
Development

Successfully merging a pull request may close this issue.

Fixed miscalculation of data reduction in rare cases Yamato-Security/hayabusa
2 participants
@hitenkoku @YamatoSecurity