3

我想检查文件是否与二进制模式匹配。

为此,我正在使用 clamAV 签名数据库

Trojan.Bancos-166:1:*:3d415d736715ab5ee347238cacac61c7123fe35427224d25253c7b035558baf19e54e8d1a82742d6a7b37afc6d91015f751de1102d0a31e66ec33b74034b1ab471cc1381884dfdf0bb3e4233bd075fef235f342302ffd72ecabfa5aedf1b3dc99b3348346db4d9001026aef44c592fee61493f7262ad2bd1bce8a7ce60d81022533f6473ae184935f25cf6cc07c3aebfdf70a5a09139

我对此进行编码以检索十六进制字符串表示签名

signature=$(echo "$line" |awk -F':' '{ print $4 }')

此外,我将十六进制字符串更改为二进制

printf -v variable $(sed 's/\(..\)/\\x\1/g;' <<< "$signature")

直到这里它完美地工作。

最后我想检查我的文件( *$raw_file_path* )是否匹配我的二进制模式(现在在 $variable 中)我试试这个

test_var=$(grep -qU "$variable" "$raw_file_path")

或者

test_var=$(grep -qU --regexp="$variable" "$raw_file_path")

我不知道为什么它不起作用,Grep 不匹配任何东西。有时会出现一些错误:

  • grep:尾随反斜杠

  • grep:无效的正则表达式

我知道它处理模式匹配问题。在我的测试中,我不想使用正则表达式。

如果您有任何想法或其他 bash 工具。谢谢。

4

2 回答 2

2

您当前正在通过指定in来使用--quiet选项。这可以防止将任何内容打印到,因此不会将任何内容保存到。grepq-qUgrepstdouttest_var

将您的代码更改为:

test_var=$(grep -UE "$variable" "$raw_file_path")
于 2012-11-20T19:01:02.563 回答
1

首先可以避免额外的子外壳:

#!/bin/bash
signature="Trojan.Bancos-166:1:*:3d415d736715ab5ee347238cacac61c7123fe35427224d25253c7b035558baf19e54e8d1a82742d6a7b37afc6d91015f751de1102d0a31e66ec33b74034b1ab471cc1381884dfdf0bb3e4233bd075fef235f342302ffd72ecabfa5aedf1b3dc99b3348346db4d9001026aef44c592fee61493f7262ad2bd1bce8a7ce60d81022533f6473ae184935f25cf6cc07c3aebfdf70a5a09139"
variable=$(echo "${signature//*:/}" | sed 's/\(..\)/\\x\1/g;')

只需要确认匹配:

if grep -qU "$variable" "$raw_file_path"; then
    # matches
fi

或者要求将结果进行进一步处理:

test_var=$(grep -U "$variable" "$raw_file_path")
# contents of match in test_var

返回变量时,greps -qopt 抑制标准输出

编辑

测试工作示例

> signature="Trojan.Bancos-166:1:All_text before-the last : should be trimed:3d415d736715ab5ee347238cacac61c7123fe35427224d25253c7b035558baf19e54e8d1a82742d6a7b37afc6d91015f751de1102d0a31e66ec33b74034b1ab471cc1381884dfdf0bb3e4233bd075fef235f342302ffd72ecabfa5aedf1b3dc99b3348346db4d9001026aef44c592fee61493f7262ad2bd1bce8a7ce60d81022533f6473ae184935f25cf6cc07c3aebfdf70a5a09139" \
> hex_string=$( echo "${signature//*:/}" | sed 's/\(..\)/\\x\1/g;' ) \
> echo "$hex_string"
\x3d\x41\x5d\x73\x67\x15\xab\x5e\xe3\x47\x23\x8c\xac\xac\x61\xc7\x12\x3f\xe3\x54\x27\x22\x4d\x25\x25\x3c\x7b\x03\x55\x58\xba\xf1\x9e\x54\xe8\xd1\xa8\x27\x42\xd6\xa7\xb3\x7a\xfc\x6d\x91\x01\x5f\x75\x1d\xe1\x10\x2d\x0a\x31\xe6\x6e\xc3\x3b\x74\x03\x4b\x1a\xb4\x71\xcc\x13\x81\x88\x4d\xfd\xf0\xbb\x3e\x42\x33\xbd\x07\x5f\xef\x23\x5f\x34\x23\x02\xff\xd7\x2e\xca\xbf\xa5\xae\xdf\x1b\x3d\xc9\x9b\x33\x48\x34\x6d\xb4\xd9\x00\x10\x26\xae\xf4\x4c\x59\x2f\xee\x61\x49\x3f\x72\x62\xad\x2b\xd1\xbc\xe8\xa7\xce\x60\xd8\x10\x22\x53\x3f\x64\x73\xae\x18\x49\x35\xf2\x5c\xf6\xcc\x07\xc3\xae\xbf\xdf\x70\xa5\xa0\x91\x39
于 2012-11-21T06:30:08.573 回答