首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
推荐学习书目
Learn Python the Hard Way
Python 学习手册
Python Cookbook
Python 基础教程
Python Sites
PyPI - Python Package Index
http://www.simple-is-better.com/
http://diveintopython.org/toc/index.html
Pocoo
值得关注的项目
PyPy
Celery
Jinja2
Read the Docs
gevent
pyenv
virtualenv
Stackless Python
Beautiful Soup
结巴中文分词
Green Unicorn
Sentry
Shovel
Pyflakes
pytest
Python 编程
pep8 Checker
Styles
PEP 8
Google Python Style Guide
Code Style from The Hitchhiker's Guide
V2EX  ›  Python

正则正则正则 求求求大佬

  •  
  •   kevinmissu · 39 天前 · 2248 次点击
    这是一个创建于 39 天前的主题,其中的信息可能已经有所发展或是发生改变。

    有个这样的文件全是这样的格式 我需要把这样的规格提出来 用正则怎么写 求助大神!!!

    rule fire2013 : webshell { meta: xxx strings: XXX{XXXXXXX}XXXXX condition: all of them }

    35 回复  |  直到 2019-06-19 16:42:42 +08:00
        1
    Yggdroot   39 天前   ♥ 6
    你这个提问要能问到答案才怪。
        2
    kevinmissu   39 天前
    rule Trojan_Malware_Win32_NSAnti_C
    {
    meta:
    judge = "black"
    threatname = "Trojan[Malware]/Win32.NSAnti.C"
    threattype = "Malware"
    family = "NSAnti"
    hacker = "None"
    refer = "5c64e6879a9746a0d65226706e0edc7a"
    comment = "None"
    description = "Chinese Hacktool Set - file svu.exe"
    author = "Florian Roth -lz"
    date = "2015-06-13"

    strings:
    $s0 = "MZKERNEL32.DLL" fullword ascii
    $s1 = "[email protected]" fullword ascii
    $s2 = "GetProcAddress" fullword ascii
    $s3 = "WriteFile" fullword ascii
    condition:
    $s0 at 0 and filesize < 50KB and all of them
    }
        3
    kevinmissu   39 天前
    里面全是这种
        4
    kevinmissu   39 天前
    怎么把一条一条的提取出来呢
        5
    kevinmissu   39 天前
    求求求大佬
        6
    Loner233   39 天前 via Android
    括号,空格,引号
        7
    zdnyp   39 天前
    看不懂...
        8
    index90   39 天前
    如果没有嵌套大括号的话:
    /^rule\s\w+.\{.+\}$/m

    测试地址:
    https://rubular.com/
        9
    linyinma   39 天前
    描述个问题都表达不清楚~~ 文件格式是什么,需要提取什么,好好表达很困难吗?
        10
    index90   39 天前
    仔细看题目应该是有嵌套大括号的:
    /^rule\s\w+.{0,1}\{.{0,1}meta:.+strings:.+condition:.+all of them.{0,1}\}$/m

    PS: /m 是正则 options,代表允许以“.”匹配换行
        12
    Cooky   39 天前 via Android
    [以下内容 vip 用户可见]
        13
    limuyan44   39 天前 via Android
    《提问的艺术》
        14
    weixiangzhe   39 天前 via iPhone
    没看懂 问啥子
        15
    andy1ee11o2   39 天前
    这不是 yara 规则吗
        16
    HatMatrix   39 天前
    这样写
        17
    pkookp8   39 天前 via Android
    正则是表达了一种规则
    只有一个例子,没有额外说明
    我直接把原文贴一遍,特殊的字符加个转义,x 的地方我改成.*,你肯定又不高兴
        18
    hoyixi   39 天前
    原来都是这样的格式啊,简单,好写,就用那样的正则
        19
    IsaacYoung   39 天前
        20
    Hilong   39 天前 via Android
    以下内容仅回复后可见
        21
    vinew   39 天前 via iPhone
    可以尝试转换成 json 标准格式,然后用 jq 处理
        22
    unicloud   39 天前 via iPhone
    用正则工具试呗
        23
    jdhao   39 天前 via Android
    这样弄一下,然后那样再弄一下,就好了。什么?没听懂?你问的都不清楚,让我怎么回到你
        24
    jdhao   39 天前 via Android
    @jdhao 回答
        25
    saulshao   39 天前
    这东西应该一行行分析,直到你用简单的逻辑无法分析再考虑正则。
    问问题的正确方式应该是:我这个输入是...(你写出来了)
    我想要的结果是:(这个你没写)
    然后再说你尝试过什么方法。
    最后说你想要得到一个什么样的解决办法
        26
    saulshao   39 天前
    还需要知道你用的是什么样的语言。
        27
    sbw   39 天前
    你的 xxxx 部分应该是没有标准的吧,如果有符号的话那用正则很麻烦,不如解析 json 或者动手写个 parser
        28
    kingfly   39 天前 via Android
    终于见识了传说中的:提问者把所有人都问蒙了!
        29
    mumbler   39 天前
    你把要处理的文件内容贴一部分出来如何? 再贴一下你想从这部分提取的结果

    很简单就能说清楚的事,别让大家猜,提问也要注意用户体验
        30
    zifangsky   39 天前
    终于见识了传说中的:提问者把所有人都问蒙了! +1
        31
    senghoo   39 天前 via iPad
    解析这种东西,一般都是直接做词法分析和语法分析。正则表达式很难写出来。就算写出来了也是复杂度太高,没有维护性。
        32
    asadegg   39 天前
    我告诉你吧,先这样,这样,再那样,再这样,就行了
        33
    XxxxD   38 天前
    《提问的艺术》
        34
    way2create   38 天前
    建议描述清楚,或者截个图,这提问...
        35
    kevinmissu   34 天前
    感觉这样正则提不出来 我就换了一种 方法 对 这就是 yara 规则的格式
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   3323 人在线   最高记录 5043   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 23ms · UTC 04:41 · PVG 12:41 · LAX 21:41 · JFK 00:41
    ♥ Do have faith in what you're doing.