Php 预匹配杀死页面
我正在使用preg_match查找并删除文件中的evaled base64编码病毒 正则表达式如下:Php 预匹配杀死页面,php,regex,preg-match,pcre,Php,Regex,Preg Match,Pcre,我正在使用preg_match查找并删除文件中的evaled base64编码病毒 正则表达式如下: /\s*eval\s*\(\s*base64_decode\s*\(\s*('[a-zA-Z0-9\+\/]*={0,2}'|"[a-zA-Z0-9\+\/]*={0,2}")\s*\)\s*\s*\)\s*(;)?\s*/ 匹配以下代码: eval(base64_decode("BASE64+ENCODED+VIRUS+HERE")); 上述正则表达式可以正常工作 我想通过连接匹配bas
/\s*eval\s*\(\s*base64_decode\s*\(\s*('[a-zA-Z0-9\+\/]*={0,2}'|"[a-zA-Z0-9\+\/]*={0,2}")\s*\)\s*\s*\)\s*(;)?\s*/
eval(base64_decode("BASE64+ENCODED+VIRUS+HERE"));
/\s*eval\s*\(\s*base64_decode\s*\(\s*\'([a-zA-Z0-9\+\/]*(\'\s*\.\s*\')?[a-zA-Z0-9\+\/]*)*={0,2}\'|"([a-zA-Z0-9\+\/]*("\s*\.\s*")?[a-zA-Z0-9\+\/]*)*={0,2}"\s*\)\s*\s*\)\s*(;)?\s*/
"BASE64+ENCODED+VIRUS+HERE"));
error_reporting(E_ALL);
ini_set('display_errors', TRUE);
ini_set('scream.enabled', TRUE);
apache > php > regex_compiler
这里讨论了一些类似的问题,但没有解决:我认为您的正则表达式有很多可能匹配==> 正则表达式需要很多步骤来匹配我标记的部分==>如果您有性能问题,正则表达式就是不能及时完成 由于
(\'\s*\.\s*\')?[a-zA-Z0-9\+\/]*+/\s*eval\s*\(\s*base64_decode\s*\(\s*\'([a-zA-Z0-9\+\/]*+(\'\s*\.\s*\')?[a-zA-Z0-9\+\/]*+)*={0,2}\'|"([a-zA-Z0-9\+\/]*+("\s*\.\s*")?[a-zA-Z0-9\+\/]*+)*={0,2}"\s*\)\s*\s*\)\s*(;)?\s*/
^^ ^^ ^^ ^^
我认为你的正则表达式有很多可能匹配==> 正则表达式需要很多步骤来匹配我标记的部分==>如果您有性能问题,正则表达式就是不能及时完成 由于
(\'\s*\.\s*\')?[a-zA-Z0-9\+\/]*+/\s*eval\s*\(\s*base64_decode\s*\(\s*\'([a-zA-Z0-9\+\/]*+(\'\s*\.\s*\')?[a-zA-Z0-9\+\/]*+)*={0,2}\'|"([a-zA-Z0-9\+\/]*+("\s*\.\s*")?[a-zA-Z0-9\+\/]*+)*={0,2}"\s*\)\s*\s*\)\s*(;)?\s*/
^^ ^^ ^^ ^^
编辑:
\s*
eval \s*
\( \s*
base64_decode \s*
\( \s*
(?:
(?>
'
[a-zA-Z0-9+/]*
(?:
'
\s* \. \s*
'
[a-zA-Z0-9+/]*
)*
={0,2}
'
)
|
(?>
"
[a-zA-Z0-9+/]*
(?:
"
\s* \. \s*
"
[a-zA-Z0-9+/]*
)*
={0,2}
"
)
)
\s*
\)\s*
\)\s* ;? \s*
\s*
eval \s*
\( \s*
base64_decode \s*
\( \s*
(?:
(?>
'
[a-zA-Z0-9+/]*
(?:
'
\s* \. \s*
'
[a-zA-Z0-9+/]*
)*
={0,2}
'
)
|
(?>
"
[a-zA-Z0-9+/]*
(?:
"
\s* \. \s*
"
[a-zA-Z0-9+/]*
)*
={0,2}
"
)
)
\s*
\)\s*
\)\s* ;? \s*
使用此非常快速的正则表达式处理连锁条件
“.”~
\s*
eval \s*
\( \s*
base64_decode
\s*
\(
\s*
["']
(?> [a-zA-Z0-9+/]* (?: ["']\s*\.\s*["'] [a-zA-Z0-9+/]* )* )
={0,2}
["']
\s*
\)
\s*
\)
\s* ;? \s*
~x
编辑:
\s*
eval \s*
\( \s*
base64_decode \s*
\( \s*
(?:
(?>
'
[a-zA-Z0-9+/]*
(?:
'
\s* \. \s*
'
[a-zA-Z0-9+/]*
)*
={0,2}
'
)
|
(?>
"
[a-zA-Z0-9+/]*
(?:
"
\s* \. \s*
"
[a-zA-Z0-9+/]*
)*
={0,2}
"
)
)
\s*
\)\s*
\)\s* ;? \s*
\s*
eval \s*
\( \s*
base64_decode \s*
\( \s*
(?:
(?>
'
[a-zA-Z0-9+/]*
(?:
'
\s* \. \s*
'
[a-zA-Z0-9+/]*
)*
={0,2}
'
)
|
(?>
"
[a-zA-Z0-9+/]*
(?:
"
\s* \. \s*
"
[a-zA-Z0-9+/]*
)*
={0,2}
"
)
)
\s*
\)\s*
\)\s* ;? \s*
使用此非常快速的正则表达式处理连锁条件
“.”~
\s*
eval \s*
\( \s*
base64_decode
\s*
\(
\s*
["']
(?> [a-zA-Z0-9+/]* (?: ["']\s*\.\s*["'] [a-zA-Z0-9+/]* )* )
={0,2}
["']
\s*
\)
\s*
\)
\s* ;? \s*
~x
我我想你也有类似的问题,但我还是试着理解你的正则表达式。我想你也有类似的问题,但我仍然试图理解你的正则表达式。聪明的朋友,它确实解决了性能问题。我猜这与我输入的260k base64编码病毒有关。我只是没有在“时间”域中考虑它,而是在记忆域中考虑它。我想到了使用[a-zA-z]*?对于一个懒惰的匹配(作为一个性能增强),但在我测试它并没有看到任何变化后,我忘记了回溯需要时间!聪明的伙伴,它确实解决了性能问题。我猜这与我输入的260k base64编码病毒有关。我只是没有在“时间”域中考虑它,而是在记忆域中考虑它。我想到了使用[a-zA-z]*?对于一个懒惰的匹配(作为一个性能增强),但在我测试它并没有看到任何变化后,我忘记了回溯需要时间!这会很有趣,@stema在表演中修复了整个裂口,你可能在准确性上修复了这个。我还没有测试你的解决方案。我的代码基于eval+base64+gzflate/gzuncompress/bzdecompress+str_rot13的多种组合生成正则表达式,它还考虑了隐藏在ascii十六进制码/unicode十六进制码下的字符串。这一切都使得合并您的解决方案变得困难。因此我会在早上做。因为你的代码保留了性能问题,我的问题是“为什么我的正则表达式崩溃了”,我想我会接受@stema关于“灾难性回溯”的回答。@Mihai Stancu-没问题,很高兴你让它工作了。我本以为从
([a-zA-Z0-9\+\/]*(\'\s*.\s*')?[a-zA-Z0-9\+\/]*[a-zA-Z0-9+/]*(?:'\s*.\s*.[a-zA-Z0-9+/]*)*