1

我正在使用 preg_match 在文件中查找和删除经过评估的 base64 编码病毒。

下面的正则表达式:

/\s*eval\s*\(\s*base64_decode\s*\(\s*('[a-zA-Z0-9\+\/]*={0,2}'|"[a-zA-Z0-9\+\/]*={0,2}")\s*\)\s*\s*\)\s*(;)?\s*/

匹配以下代码:

eval(base64_decode("BASE64+ENCODED+VIRUS+HERE"));

上面的正则表达式工作正常。

我想匹配通过连接换行的 base64 字符串。所以它也应该匹配以下内容 "BASE64+EN" 。“编码+病毒+这里”。

所以我将正则表达式更改为:

/\s*eval\s*\(\s*base64_decode\s*\(\s*\'([a-zA-Z0-9\+\/]*(\'\s*\.\s*\')?[a-zA-Z0-9\+\/]*)*={0,2}\'|"([a-zA-Z0-9\+\/]*("\s*\.\s*")?[a-zA-Z0-9\+\/]*)*={0,2}"\s*\)\s*\s*\)\s*(;)?\s*/

找到部分匹配项:

"BASE64+ENCODED+VIRUS+HERE"));

但是当我尝试在整个文件上应用匹配时:http: //pastebin.com/ED8sFUP0页面因浏览器消息“在页面加载时与服务器的连接已重置。”而死掉。

我已激活错误报告:

error_reporting(E_ALL);
ini_set('display_errors', TRUE);
ini_set('scream.enabled', TRUE);

但是这里没有任何显示,也没有出现在 apache 的错误日志中。

在不包含违规字符串的文件上使用相同的正则表达式按预期工作;preg_match 不返回布尔值 false 它返回 0 表示没有正则表达式错误并且它没有找到任何匹配项。

我担心的不一定是为什么正则表达式只能找到部分匹配。这可能是我犯的一些错字,碰巧起作用了。

我想知道正则表达式编译器何时以及如何失败破坏整个进程链

apache > php > regex_compiler

我知道这很可能是“因为”我的正则表达式恰好编译正确但不正确匹配。它可能会导致一些不好的事情发生。但我的兴趣是为什么正则表达式编译器失败且没有错误,以及如何获得应该产生的错误消息。

此处讨论了类似但未解决的问题:php preg_match_all kills page for unknown reason

4

2 回答 2

1

编辑: 

 \s*
 eval \s*
 \( \s*
    base64_decode \s* 
    \( \s* 
        (?:
            (?>
               '
                 [a-zA-Z0-9+/]*
                 (?:
                    '
                      \s* \. \s*
                    '
                    [a-zA-Z0-9+/]*
                 )*
                 ={0,2}
               '
            )
          |
            (?>
               "
                 [a-zA-Z0-9+/]*
                 (?:
                    "
                      \s* \. \s*
                    "
                    [a-zA-Z0-9+/]*
                 )*
                 ={0,2}
               "
            )
        )
        \s*

    \)\s*

 \)\s* ;? \s*

如何处理 "".'' 连接

你没有试图解析语言(你不能这样做),所以你可以 用这个非常快速的正则表达式
处理连接条件......"".''

~
 \s*
 eval \s*
 \( \s*
    base64_decode
    \s* 
    \(
       \s* 
        ["']
        (?> [a-zA-Z0-9+/]* (?: ["']\s*\.\s*["'] [a-zA-Z0-9+/]* )* )
        ={0,2}
        ["']
       \s*
    \)
    \s*
 \)
 \s* ;? \s*

~x
于 2012-05-17T21:57:57.233 回答
0

我认为您的正则表达式有很多可能性来匹配 ==> Catastrophic Backtracking

/\s*eval\s*\(\s*base64_decode\s*\(\s*\'([a-zA-Z0-9\+\/]*(\'\s*\.\s*\')?[a-zA-Z0-9\+\/]*)*={0,2}\'|"([a-zA-Z0-9\+\/]*("\s*\.\s*")?[a-zA-Z0-9\+\/]*)*={0,2}"\s*\)\s*\s*\)\s*(;)?\s*/
                                       ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^          ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

正则表达式需要很多步骤来匹配我标记的部分==> 你有性能问题,正则表达式没有及时完成!

由于(\'\s*\.\s*\')?是可选的,因此您需要很多步骤,直到正则表达式找出与[a-zA-Z0-9\+\/]*可选部分之前和之后的相同内容匹配的内容。

您可以做的是使用所有格量词(通过在量词之后添加 a 来使量词具有所有格+)。它们防止回溯,并且所有格量词不会返回匹配的字符。所以,试试这个

/\s*eval\s*\(\s*base64_decode\s*\(\s*\'([a-zA-Z0-9\+\/]*+(\'\s*\.\s*\')?[a-zA-Z0-9\+\/]*+)*={0,2}\'|"([a-zA-Z0-9\+\/]*+("\s*\.\s*")?[a-zA-Z0-9\+\/]*+)*={0,2}"\s*\)\s*\s*\)\s*(;)?\s*/
                                                       ^^                               ^^                           ^^                            ^^
于 2012-05-17T21:45:18.160 回答