小记 - 基于二进制的正则匹配

原创 已于 2025-03-15 12:43:30 修改 · 507 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#c++ #算法 #开发语言 #正则表达式 #数据分析

于 2025-03-15 01:10:24 首次发布

0. 起因

今天是2025年3月15日的0点34分,我的舍友此时在王者荣耀双排开黑,而此时的我既十分惊讶又十分后悔。惊讶是因为我发现了新的二进制正则匹配办法,而且这个办法比我之前想到的还要好,后悔就后悔我居然今天才想出。

1. 第一种办法

我之前想到的第一种办法是:硬解析二进制

#include <boost/regex.hpp>

// 2025年3月11日: 经过排查,std::regex只支持有符号型,即根本不支持uint8_t

struct _Range {
	size_t start_pos;
	size_t end_pos;
};

using MatchItem = std::vector<std::pair<std::basic_string_view<std::uint8_t>, _Range>>;
using MatchList = std::vector<MatchItem>;

std::basic_string<uint8_t> bin_escape_seq(const std::basic_string<uint8_t>& str) {
	const std::regex specialCharsRegex(R"([.^$*+?()\[\]{}|\\])");
	auto res = std::regex_replace(std::string(str.begin(), str.end()), specialCharsRegex, R"(\$&)");
	return std::basic_string<uint8_t>(res.begin(), res.end());
}

std::basic_string<uint8_t> bin_replace(std::basic_string_view<uint8_t> str, std::basic_string_view<uint8_t> regex, std::basic_string_view<uint8_t> replaceStr) {
	std::regex pattern(std::string(regex.begin(), regex.end()));
	auto res = std::regex_replace(std::string(str.begin(), str.end()), pattern, std::string(replaceStr.begin(), replaceStr.end()));
	return std::basic_string<uint8_t>(res.begin(), res.end());
}

bool bin_match(std::basic_string_view<uint8_t> str, std::basic_string_view<uint8_t> regex) {
	return std::regex_match(std::string(str.begin(), str.end()), std::regex(std::string(regex.begin(), regex.end())));
}

MatchList bin_search(std::basic_string_view<std::uint8_t> str, std::basic_string_view<uint8_t> regex) {
	MatchList ret{};

	auto begin = str.cbegin();
	auto end = str.cend();
	std::match_results<decltype(str)::const_iterator> m;
	std::regex r(std::string(regex.begin(), regex.end()));

	while (std::regex_search(begin, end, m, r)) {
		begin = m[0].second;
		MatchItem item{};
		for (size_t i = 0; i < m.size(); i++) {
			_Range pos{
				static_cast<size_t>(m[i].first - str.begin()),
				static_cast<size_t>(m[i].second - str.begin()),
			};
			size_t sub_size = static_cast<size_t>(m[i].second - m[i].first);
			decltype(str) sub = str.substr(pos.start_pos, sub_size);
			item.emplace_back(sub, pos);
		}
		ret.push_back(item);
	}

	return ret;
}

就是这样的代码,如此直接,把二进制的数据硬直直地带入到正则匹配中,且我也想到regex模式串可能会存在需要转义的情况,因此就搭配bin_escape_seq()来实现转义

然后真实的应用场景就是这样。。。

std::basic_string<uint8_t> sdk_begin_sign = bin_escape_seq({ 0xEB,0x0F,0x4F,0x50,0x72,0x6F,0x74,0x65,0x63,0x74,0x20,0x42,0x65,0x67,0x69,0x6E,0x00 });
std::basic_string<uint8_t> sdk_end_sign = bin_escape_seq({ 0xEB,0x0D,0x4F,0x50,0x72,0x6F,0x74,0x65,0x63,0x74,0x20,0x45,0x6E,0x64,0x00 });

std::basic_string<uint8_t> sec_content(sec.content().begin(), sec.content().end());

auto matchs = bin_search(sec_content, sdk_begin_sign + std::basic_string<uint8_t>((const uint8_t*)"(.*)") + sdk_end_sign); 
			
for (auto& match : matchs){
	func.begin = off + match[0].second.start_pos;
	func.end = off + match[0].second.end_pos;
	func.size = func.end - func.begin;
	result.push_back(func);
}

我来总结下这种办法的优缺点

优点:

  • 方便直接,省空间

缺点:

  • 模式串在代码里特别不好看
  • 正则匹配容易出现问题(有错误和漏缺)
  • 模式串还有0x00截断

总结下来就是,太姬芭沙比了

2. 第二种办法

灵感是从 ghidra 和 ida 想到的

我们都说,正则匹配一般是为可见字符(也可以叫"可打印字符")服务的,像上面这种硬是给不可见字符(也可以叫"不可打印字符")服务,不仅正则引擎嫌难受,我们看着用着也难受

要想得到最有效的结果,基本的原则自然就是要与正则引擎"门当户对"。可见字符是吧,我们直接把二进制数据解析成可见字符不就行了?

把一个个字节变成一个个可见字符,就可以了

比如有一个字节 0x3C,我们将其解析成两个'3''C'字符,换成ASCII码形式就是0x33,0x43

一个字节总共就有16种字符标识,0123456789ABCDEF
就这么简单,16个字符里没有一个需要特殊转义的,用就行了,而且在代码里边看的也非常顺(要是嫌太长,自己写个宏、保存到文件里再读取都行)

我想到的唯一的缺点,就是太占内存 空间了,一个字节就是两个十六进制字符,那么将这两个十六进制字符保存本身就需要两个字节的长度,也就是说,如果要匹配100字节的数据,你就得准备200字节的空间

功能:

struct _Range {
	size_t start_pos;
	size_t end_pos;
};

using MatchItem = std::vector<std::pair<std::string_view, _Range>>;
using MatchList = std::vector<MatchItem>;

std::string regex_escape_seq(std::string_view str) {
	const std::regex _regex(R"([.^$*+?()\[\]{}|\\])");
	return std::regex_replace(std::string(str), _regex, R"(\$&)");
}

std::string regex_replace(std::string_view str, std::string_view regex, std::string_view replaceStr) {
	std::regex pattern(std::string(regex.begin(), regex.end()));
	return std::regex_replace(std::string(str), pattern, std::string(replaceStr));
}

bool regex_match(std::string_view str, std::string_view regex) {
	return std::regex_match(std::string(str), std::regex(std::string(regex)));
}

MatchList regex_search(std::string_view str, std::string_view regex) {
	MatchList ret{};

	auto begin = str.cbegin();
	auto end = str.cend();
	std::match_results<decltype(str)::const_iterator> m;
	std::regex r(std::string(regex.begin(), regex.end()));

	while (std::regex_search(begin, end, m, r)) {
		begin = m[0].second;
		MatchItem item{};
		for (size_t i = 0; i < m.size(); i++) {
			_Range pos{
				static_cast<size_t>(m[i].first - str.begin()),
				static_cast<size_t>(m[i].second - str.begin()),
			};
			size_t sub_size = static_cast<size_t>(m[i].second - m[i].first);
			decltype(str) sub = str.substr(pos.start_pos, sub_size);
			item.emplace_back(sub, pos);
		}
		ret.push_back(item);
	}

	return ret;
}

std::string bytes2String(uint8_t bytehex, bool uppercase) {
    const char* hex_chars = uppercase ? "0123456789ABCDEF" : "0123456789abcdef";
    std::string result(2, '\0');

    result[0] = hex_chars[(bytehex >> 4) & 0xF];
    result[1] = hex_chars[bytehex & 0xF];

    return result;
}

std::string convertByteString(const std::basic_string<uint8_t>& bytes, bool uppercase = true) {
    std::string result;
    result.reserve(bytes.size() * 2);

    for (const auto& byte : bytes) {
        result += bytes2String(byte, uppercase);
    }

    return result;
}

std::basic_string<uint8_t> convertBytes(const std::string& hexStr) {
    if (hexStr.length() % 2 != 0) {
        throw std::invalid_argument("Hex string length must be even");
    }

    std::basic_string<uint8_t> result;
    result.reserve(hexStr.length() / 2);

    for (size_t i = 0; i < hexStr.length(); i += 2) {
        char highNibble = hexStr[i];
        char lowNibble = hexStr[i + 1];

        uint8_t high;
        if (highNibble >= '0' && highNibble <= '9') {
            high = (highNibble - '0') << 4;
        }
        else if (highNibble >= 'A' && highNibble <= 'F') {
            high = (highNibble - 'A' + 10) << 4;
        }
        else if (highNibble >= 'a' && highNibble <= 'f') {
            high = (highNibble - 'a' + 10) << 4;
        }
        else {
            throw std::invalid_argument("Invalid hex character");
        }

        uint8_t low;
        if (lowNibble >= '0' && lowNibble <= '9') {
            low = lowNibble - '0';
        }
        else if (lowNibble >= 'A' && lowNibble <= 'F') {
            low = lowNibble - 'A' + 10;
        }
        else if (lowNibble >= 'a' && lowNibble <= 'f') {
            low = lowNibble - 'a' + 10;
        }
        else {
            throw std::invalid_argument("Invalid hex character");
        }

        result.push_back(high | low);
    }

    return result;
}

测试代码:

int main() {
    std::string _sdk_begin_sign = std::string() + '\xEB' + '\x0F' + '\x4F' + '\x50' + '\x72' + '\x6F' + '\x74' + '\x65' + '\x63' + '\x74' + '\x20' + '\x42' + '\x65' + '\x67' + '\x69' + '\x6E' + '\x00';
    std::string _sdk_end_sign = std::string() + '\xEB' + '\x0D' + '\x4F' + '\x50' + '\x72' + '\x6F' + '\x74' + '\x65' + '\x63' + '\x74' + '\x20' + '\x45' + '\x6E' + '\x64' + '\x00';
    
    std::string sdk_begin_sign = "EB0F4F50726F7465637420426567696E00";
    std::string sdk_end_sign = "EB0D4F50726F7465637420456E6400";
    std::string binary_data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

    std::string pattern = sdk_begin_sign + "(.*?)" + sdk_end_sign;
    
    auto match = regex_search(binary_data, pattern);

    return 0;
}
花子LingMo
关注
趣题:用正则表达式判断一个二进制数是否能被3整除
matrix67的专栏
12-01 2386
    我们之前已经见过了正则表达式的一些很特殊的用法。这里我们再来看一个:用正则表达式判断数的整除性。例如,下面这个表达式可以匹配01串S当且仅当S是一个可以被3整除的二进制数。^1((10*1)|(01*0))*10*$    如果你不信的话,不妨把下面这段代码粘贴进浏览器的地址栏,然后回车运行一下:javascript:alert(/^1((10*1)|(01*0))*1
python以二进制方式匹配文件
sky0Lan的博客
08-17 1225
使用字符格式去匹配1.log中的日志,会有部分文件显示无法解码,使用utf-8也是同样情况,因此需要对正则和文件都已二进制方式处理,即可。 import re re_compile = re.compile("meter_data received.seq = (\d+). mr_typ = (\d+). mac = (\w{2}:\w{2}:\w{2}:\w{2}:\w{2}:\w{2}). len = \d+") with open('1.log', 'r') as f: for line i
正则表达式小记
码飞_CC的博客
08-07 2853
文章目录1. 使用正则很酷1.1 不使用正则1.2 使用正则2. JS中正则表达式的创建方式3. 术语与操作符3.1 精确匹配3.2 匹配一类字符3.3 转义3.4 匹配开始与匹配结束3.4 重复出现3.5 预定义字符类3.6 分组3.7 或操作符(OR)3.8 反向引用 在开发的过程中,我们不使用正则表达式也可以正常工作,但是,如果有了正则表达式(Regular Expression)的话,那么...
PHP--正则表达式和样式匹配--小记
imwtr 的专栏
08-27 1093
正则表达式: Regular expression
Java正则表达式小记
csdn_yaohailong的博客
08-16 274
正则表达式小记 ...
java+正则+递归匹配_正则表达式(含递归用法)
weixin_35851553的博客
02-26 410
(原创)正则表达式,日常用于匹配。简单小记一下:一、基本\ 表示转义\xA9 \x 16进制. 任意字符a|b a或b,注意,如果是 a|ab,去匹配 ab ,那么大多数引擎是匹配到 a,只有少数是匹配到ab[abc] set内的或[a-zA-Z0-9] 范围的一种写法[^abc] 非set^ 起始(匹配位置,而不是字符)$ 结束(匹配位置,而不是字符...
正则表达式
皮皮blog
01-04 3620
正则表达式是用于处理字符串的强大工具,拥有自己独特的语法以及一个独立的处理引擎,效率上可能不如str自带的方法,但功能十分强大。在提供了正则表达式语言里,正则表达式的语法都是一样的,区别只在于不同的编程语言实现支持的语法数量不同;但不用担心,不被支持的语法通常是不常用的部分。
linux小记 -常用命令(二)
iteye_10194的博客
12-25 154
Linux备份与压缩命令   用户经常需要备份计算机系统中的数据,为了节省存储空间,常常将备份文件进行压缩。下面分别介绍备份与压缩的命令。  tar命令  作用:tar可以为文件和目录创建档案。利用tar,用户可以为某一特定文件创建档案(备份文件),也可以在档案中改变文件,或者向档案中加入新的文件。tar最初被用来在磁带上创建档案,现在,用户可以在任何设备上创建档案,如软盘。利用tar命令...
linux小记 -常用命令(三)
iteye_10194的博客
12-25 110
Linux改变文件或目录的访问权限命令   Linux系统中的每个文件和目录都有访问许可权限,用它来确定谁可以通过何种方式对文件和目录进行访问和操作。   文件或目录的访问权限分为只读,只写和可执行三种。以文件为例,只读权限表示只允许读其内容,而禁止对其做任何的更改操作。可执行权限表示允许将该文件作为一个程序执行。文件被创建时,文件所有者自动拥有对该文件的读、写和可执行权限,以便于对文件的阅读...
Vim快捷键 小记
上善若水 的专栏
12-27 1981
编辑模式:一般模式下不可以修改某个字符,若要修改字符,只能进入编辑模式。从一般模式进编辑模式,只需按i、I、a、A、o、O、r和R中某个键即可。从编辑模式回到一般模式,按esc即可。要换行的话,最好的方法是按下 esc 或 ctrl + [ 回到 normal 模式,再用 o/O 在下方/上方插入新行。如果你不想要密码了,就:X 提示你输入密码时连续按两次回车,就搞定了。该模式下,可以搜索字符或字符串,可以保存、替换、退出、显示行号等操作。搜索出来的字符串都会高亮显示,若想不高亮,输入:nohl。
A Small Front-end Algorithm Note.zip
02-04
9. **位运算**:在性能敏感的场景下,位运算能提高代码执行速度,例如在CSS颜色操作、二进制数据处理等方面。 10. **复杂度分析**:理解时间复杂度和空间复杂度,可以帮助我们评估算法的效率,并在必要时进行优化。...
nomasp 博客导读:Lisp/Emacs、Algorithm、Android
热门推荐
nomasp
09-17 1万+
ProfileIntroduction to Blog 您能看到这篇博客导读是我的荣幸,本博客会持续更新,感谢您的支持,欢迎您的关注与留言。博客有多个专栏,分别是关于 Android应用开发 、Windows App开发 、 UWP(通用Windows平台)开发 、 SICP习题解 和 Scheme语言学习 、 算法解析 与 LeetCode等题解 ,而最近会添加的文章将
前端面试必备技巧(二)重难点梳理
solocoder的博客
06-05 1415
针对面试中出镜率比较高的重难点知识梳理。 相比于第一篇 前端面试必备技巧,本篇文章更贴合今年的面试实际。第一篇比较全面,也比较基础,建议先看一遍上一篇再看本篇会更容易理解。 一、ES6常见用法 关于 ES6(泛指 ECMAScript 2015 及以后的版本)几乎是面试必问的,一般的问法是:“平常会使用 ES6 吗?列举几个 ES6 的用法”。 回答出来三四个就差不多了,但回答的每一个都要弄清楚,有的面试官会延伸着追问。 如果时间充足,还是建议看看 阮一峰的 ES6 入门教程 。 1.1 let 和 c
C语言:函数变量作用域、指针入门
2301_77829391的博客
07-27 955
*概念:**变量在程序运行中的存在时间(内存申请到内存释放的时间)根据变量存在的时间不同,变量可分为静态存储方式和动态存储方式//写法1 数据类型 * 变量列表;//写法2 数据类型 * 变量列表;//普通变量int a;//指针变量int *p1;// 正确//正确int* p4;//正确int* p5,p6;//注意:p6被当作int变量,不是指针注意:指针变量的值只能是8(32位系统)| 12(64位系统)位的十六进制整数。① 虽然定义指针变量*a,是在变量名前加上。
【MediaTek】AN7563编译wlan_hwifi出现en_npu.c:42:10: fatal error:
wgl307293845的博客
07-24 55
问题日志。
C++ list 完全指南:list的模拟实现》
铭哥不写bug的博客
07-27 795
本文介绍了C++ list 完全指南中0list的模拟实现,期待你的关注!
C++符合快速入门(有java和js基础的)
2302_77002233的博客
07-24 439
【代码】C++符合快速入门(有java和js基础的)
C++扩展 --- 并发支持库(下)
Small_entreprene的博客
07-24 1353
本文介绍了C++11并发支持库中三种重要的锁管理工具。lock_guard采用RAII机制自动管理互斥锁,在构造时加锁,析构时解锁,确保异常安全。unique_lock功能更丰富,支持延迟锁定、尝试锁定和移动语义,提供更灵活的锁管理。std::lock函数能原子性地锁定多个互斥锁,避免死锁问题。此外,文章还讲解了std::call_once的用法,保证多线程环境下某个函数只执行一次。这些工具能有效解决多线程编程中的资源管理、死锁预防等问题,提高代码的健壮性和安全性。
9.c语言常用算法
最新发布
chxii的专栏
07-28 338
从数组的第一个元素开始,逐个与目标值进行比较,直到找到目标值或查找完整个数组。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值