Regex / Python3 - re.findall() - 查找操作码之间的所有匹配项

Regex / Python3 - re.findall() - Find all occurrences between opcodes

背景

我正在对使用类型-长度-值方法编码数据的 TCP 流进行逆向工程。

示例:

TCP Payload: b'0000001f001270622e416374696f6e4e6f74696679425243080310840718880e20901c'
---------------------------------------------------------------------------------------
Type:     00 00   # New function call
Length:   00 1f   # Length of Value (Length of Function + Function + Data)
Value:    00 12   # Length of Function
Value:    70 62 2e 41 63 74 69 6f 6e 4e 6f 74 69 66 79 42 52 43   # Function ->(hex2ascii)-> pb.ActionNotifyBRC
Value:    08 03 10 84 07 18 88 0e 20 90 1c   # Data    

然而,Data 是一个数据对象,可以包含多个具有可变数据长度的变量。

Data: 08 05 10 04 10 64 18 c8 01 20 ef 0f
----------------------------------------------
Opcode : Value
  08   :  05          # var1 : 1 byte
  10   :  04          # var2 : 1 byte
  18   :  c8 01       # var3 : 1-10 bytes
  20   :  ef 0f       # var4 : 1-10 bytes

目前我正在使用以下 Python3 代码解析数据:

############################### NOTES ###############################
# Opcodes sometimes rotate starting positions but the general order is always held:
#     Data:     20 ef 0f 08 05 10 04 10 64 18 c8 01
#####################################################################

import re
import binascii

def dataVariable(data, start, end):
    p = re.compile(start + b'(.*?)' + end)
    return p.findall(data + data)

data = bytearray.fromhex('08051004106418c80120ef0f')
var3 = dataVariable(data, b'\x18', b'\x20')
print("Variable 3:", end=' ')
for item in set(var3):
    print(binascii.hexlify(item), end=' ')

----------------------------------------------------------------------------
[Output]: Variable 3: b'c801'

目前一切顺利...

问题

如果操作码出现在之前的变量值中,则代码不再可靠。

Data: 08 05 10 04 10 64 18 c8 20 01 20 ef 0f
----------------------------------------------
Opcode : Value
  08   :  05          
  10   :  04          
  18   :  c8 20 01        # The Value includes the next opcode (20)  
  20   :  ef 0f
----------------------------------------------------------------------------
[Output]: Variable 3: b'c8'
[Output]: Variable 4: b'0120ef0f'

我期待输出:

[Output]: Variable 3: b'c8' b'c82001'
[Output]: Variable 4: b'0120ef0f' b'ef0f'

我的正则表达式好像有问题?

更新

为了进一步说明,var3 和 var4 表示整数。 我已经设法弄清楚值的长度是如何编码的。最高有效位被用作标志,通知我另一个字节即将到来。然后您可以去除每个字节的 MSB,交换字节顺序并转换为十进制。

  data   ->   binary representation    -> strip MSB and swap endianness -> decimal representation

ac d7 05 -> 10101100 11010111 00000101 ->   0001 01101011 10101100      ->   93100
e4 a6 04 -> 11100100 10100110 00000100 ->   0001 00010011 01100100      ->   70500
90 e1 02 -> 10010000 11100001 00000010 ->        10110000 10010000      ->   45200
dc 24    ->          11011100 00100100 ->        00010010 01011100      ->   4700
f0 60    ->          11110000 01100000 ->        00110000 01110000      ->   12400

您可以使用

def dataVariable(data, start, end):
    p = re.compile(b'(?=(' + start + b'.*' + end + b'))')
    res = []
    for x in p.findall(data):
        cur = b''
        for i, m in enumerate([x[i:i+1] for i in range(len(x))]):
            if i == 0:
                continue
            if m == end and cur:
                res.append(cur)
            cur = cur + m
    return res

Python demo:

data = bytearray.fromhex('08051004106418c8200120ef0f0f') # => b'c82001' b'c8'
#data = bytearray.fromhex('185618205720') # => b'56182057' b'2057' b'5618' 
var3 = dataVariable(data, b'\x18', b'\x20')
print("Variable 3:", end=' ')
for item in set(var3):
    print(binascii.hexlify(item), end=' ')

'08051004106418c8200120ef0f0f' 字符串的输出为 Variable 3: b'c8' b'c82001'185618205720 输入的输出为 b'56182057' b'2057' b'5618'

模式属于 (?=(...)) 类型,用于查找所有重叠匹配项。如果您不需要重叠功能,请从正则表达式中删除这些部分。

这里的重点是:

  • 匹配以 start 开始到最后一个 endstart + b'.*' + end 模式
  • 的所有子字符串
  • 遍历匹配项,删除第一个 start 字节,并在找到 end 字节时将一个项目添加到结果列表中,在每次迭代中添加找到的字节(因此,获取所有内部匹配中的子字符串)。