Snort/PCRE Regex：奇数文字クラスの構文

Question

Snortの正規表現セットを解析しているときに、[\x80-t]または[\x01-t\x0B\x0C\x0E-t\x80-t]のような非常に奇妙な文字クラス構文が見つかりましたが、実際に何も分かりません。-tを意味します。私はそれが標準PCREかSnort拡張の一種であるかどうかわかりません。

/\x3d\x00\x12\x00..........(.[\x80-t]|...[\x80-t])/smiR 
/^To\x3A[^\r\n]+[\x01-t\x0B\x0C\x0E-t\x80-t]/smi 

---

PS：文字トンが\ X74ですので\x80-tは、標準的な方法でも、有効な範囲ではないことに注意してください。ここ

は、これらの文字クラスが含まれているいくつかの正規表現です。

Answer 1

tがx80より大きく、通常はアドレス指定できない別の文字エンコーディングを参照することができます。

たとえば、EBCDICスキャンコードを取る（here for a referenceを参照）。

（しかし、私はあまりにも誰かがそのように書きたいと思う理由見当もつかない）

ASCIIのために、私は野生の推測を持っている：「-1次のトークンまで」-t手段であれば、ラインの最後に配置場合そこで、基本的表現[\x01-t\x0B\x0C\x0E-t\x80-t]が[^\r\n]を意味するであろう

To:(not a newline, more than one character)(not a newline) 

：「使用できる文字の最後まで」2番目のクエリは、このことを述べるだろう。

(.Ç-t]|...[Ç-t])にそれを適用すると、7ビットASCIIより大きな文字を扱い、ユニコード（すべての最初の127文字以外）のすべてに対処することができます。

（言われていること、私はまだ誰かがこのようにそれを書くべき理由か見当もつかないが、少なくとも「そのバグ」のほかにコヒーレントな説明のthats）

たぶん役立つ：あなたは平均rexexes掲示ん何を\ xYYを書き出したら？ ASCII：

/=\NULL\DEVICE_CONTROL_2\NULL\.{10}\(.Ç-t]|...[Ç-t])/smiR 
/^To\:[^\r\n]+[\START_OF_HEADING-t\VERTICALTAB\FORMFEED\SHIFTOUT\Ç-t]/smi 

\0x12別名Device control 2の世話はそれがテキストで表示されませんので、助ける、多分ネットトラフィックの可能性があります。

Answer 2

To:（大文字小文字を区別しない）で始まり、改行や改行文字ではない文字が少なくとも1つ続く行に一致します。これは貪欲な試合なので、私は\rまたは\nが、文字クラス[\x01-t\x0B\x0C\x0E-t\x80-t]の中で唯一の可能な終了試合であると期待しています。注：\rは\x0Dに相当し、\nは\x0Aに相当します。何が-tの意味なのかわからないが、その代わりに-だったとしよう。文字クラスは[\x01-\x0B\x0C\x0E-\x80-]となりますが、これはやや複雑ですが、少し意味があります。すなわち、\nを終了文字として使用できますが、\rではありません。

これは非常にロングショットですが、これは何らかの種類の検索と置換が間違っている可能性があります。 （tのない通常の範囲を持つ他の正規表現があれば、これはおそらく素早く割り引かれます）