CNXCT小组的博客

10.1期间，一位朋友问我一个apache的 Rewrite规则中一个高级语法RewriteMap的用法问题。其想要实现的是这个功能，有个多用户的blog，用户访问的时候，是用三级域名访问的。比如http://cfc4n1.blog.cnxct.com，http://cfc4n2.blog.cnxct.com这种三级域名。在服务器上，是对三级域名做泛解析。每个三级域名都生成了一个静态的html主页文件。由于用户数量较多，linux ext硬盘格式上同一目录文件太多，检索文件的速度会有折扣，遂将文件打散到不同的目录下。打散方式是以用户名【三级域名中的cfc4n1，cfc4n2等】的MD5值的每隔两位作为一个目录。MD5的默认长度是32位，每隔两位分一次目录的话，那就有16级目录。每级目录的目录名是2个字符，每个字符的有16种可能【0-9a-f】，那么每级目录的目录数为256个目录，16级的话就有4096个目录。每个目录存1000个文件的话，可以存放4096000个文件，这样做，即可以把文件均匀打散到各个小目录中，同时，每个目录下的文件数又不是很多。当用户访问的时候，取目录里的用户名，计算MD5hash，做字符分割，重写到对应的目录下的文件中，如果文件不存在，则重写到生成这个文件的动态页面中。

到apache手册里找了下RewriteMap的用法

RewriteMap MapName MapType:MapSource

遂顺手在.htaccess里这么写了

RewriteMap cfc prg:/var/www/1.php
RewriteRule ^([a-f0-9-]+)\.blog\.cnxct\.com ${cfc:$1} [L,PT]

然后访问一个三级域名试试。结果提示500 http 错误。到apache日志里看到如下

/var/www/.htaccess: RewriteMap not allowed here

搜了半天，不知道是什么错误，只好再次看手册，这时候，才发现rewritemap的作用域却是server config, virtual host，真汗了一下。自己没认真看手册。
改到virtual host里之后，重启apache，结果，还是http 500。再到错误日志里查个究竟。里面记录的确实(13)Permission denied: mod_rewrite: could not start RewriteMap program /var/www/1.php。呃，权限，权限。。赶紧chmod了一下。再次启动，却提示404。。。 /0a/c1/…./…html那种MD5字符串切割之后的文件找不到。但目录里确实是存在的啊。又到日志里查看，原来却是/0a/c1/…../…html\r 文件无法找到了。为什么地址后面多个\r呢？打开MapSource的脚本文件，才看到里面PHP操作流的结束字符里是“\r\n”了，去掉\r 才可以。

总结一下使用APACHE URL REwrite的RewriteMap方法要注意以下几点：

• 作用域-server config, virtual host，其他配置里无效。
• 自定义规则MapSource中流的结束符要跟操作系统符合，linux的要用“\n”，同时，切记在win平台编辑脚本传到linux上的时候，文件换行符要用linux格式的，不然，同样会出现问题。
• 要给apache赋予对脚本的读权限。
• apache会在启动的时候，将自定义规则的脚本读取到内存中，之后，再次修改脚本时，不会立刻生效，需要重启 apache
• apache 的error.log中会记录[warn] mod_rewrite: Running external rewrite maps without defining a RewriteLock is DANGEROUS!这样的错误日志，在apache2.conf【我的系统是ubuntu，其他linux在httpd.conf中】中添加RewriteLock /etc/apache2/script/cfc.lock来指定RewriteLock的文件位置。记得给apache对script目录下有读写权限。

自定义脚本的代码格式如下：

<?php
while($in = trim(fgets(STDIN)))
        fputs(STDOUT, getfile($in)."\n");
function getfile($str)
{
//函数判断文件是否存在等逻辑
}

在很久很久以前，从前有座山，山上有个庙，庙里有个和尚在讲故事，讲什么呢？

从前有座山，山上有个庙，庙里有个和尚在讲故事，讲什么呢……

……

言归正传，很久以前，博客的URL是这种形式http://www.cnxct.com/cnxct/612/ 这种形式，后来呢，听网上SEOer说，为了更好的SEO，URL中包含关键词，可提高权重等等等等。遂打算把老的URL形式重写成hhttp://www.cnxct.com/%e6%88%91%e6%9c%80%e8%bf%91%e5%be%88%e6%b5%ae%e8%ba%81/这种形式。

服务器web services是nginx，需要更改如下规则

location / {
        if (!-e $request_filename) {
        rewrite ^/cnxct/(\d+)/?$ /?p=$1 permanent;
        rewrite . /index.php last;
        }
   }

把/cnxct/数字/这种形式的老URL重写到/?p=数字这种形式，然后，Wordpress里在启用新的URL形式，让wordpress再把/?p=数字形式的URL再重写到目标URL。
效果如下图

一网友问到，遂共享出来

《晋书·应詹传》：“ 玫 浮躁有才辩， 临漳 人士无不诣之。” 宋 叶梦得 《避暑录话》卷上：“ 李文靖公 沆 为相，专以方严重厚镇服浮躁。”《明史·李腾芳传》：“三十九年京察，复以浮躁谪 江西 都司理问。

待写…

最近比较懒什么东西都没学。研究了两天传说中的三大游戏保护中的一个，叫XTrap.据说是三个保护

中最弱的一个。但是能力有限，还是没有过掉保护。哎，失败。

不过从中学到了点知识。留个记录。

XTrap保护在驱动里用SSTD HOOK了NtDeviceIoControlFile,NtOpenProcess,NtOpenSection

NtProtectVirtualMemory 等几个API. Shadow SSDT也HOOK了 NtUserFindWindowex

NtUserSetWindowsHookEx等几个API。他还在应用层也HOOK了一些仿调试函数。这些防护可以通过简单

的恢复来绕过。网上也有很多这方面的介绍。本以为绕过这些防护就完事了。可惜太天真了。

里面还有一个IDT HOOK 只要一调试就蓝屏。网上搜索了一下没有找到恢复IDT的资料。

于是自己想了一个办法。

先来说说IDT，IDT = Interrupt Descriptor Table 中断描述表。

这个中断描述表有什么用呢？我说的白话一点。如果你看过有关汇编的教程一定有所了解。

比如我们常用的DEBUG的T命令。他就是通过int 1中断来执行的。当我们执行这个中断的时候

CPU会在执行完一条指令之后，如果检测到TF为1则产生单步中断。

那么系统怎么知道那些中断对应什么操作呢。在系统里有一个中断描述符。它里面就记录了这些对应信

息。

如果我们把IDT里的地址改成我们自己的函数地址。呵呵那么可想而知，在发生相关中断操作的时候就

会执行我们的函数。

XTrap就HOOK了IDT里的int1来阻止调试。幻影壳也用到了这种技术。

有了上面的介绍，下面我们来说说怎么恢复。

首先我们要先把原始的IDT地址保存下来。代码如下

//这条汇编操作是获取IDT
__asm  sidt  idt_info

  idt_entries = (IDTENTRY*) MAKELONG(idt_info.LowIDTbase,idt_info.HiIDTbase);

//这里是保存我们需要恢复的中断操作指令我这里的NT_INT_TIMER为#define NT_INT_TIMER   0x01
  old_ISR_pointer = MAKELONG(idt_entries[NT_INT_TIMER].LowOffset,idt_entries

[NT_INT_TIMER].HiOffset);

保存好了原始地址 那么当IDT被改变时我们就可以根据这个原始地址来恢复了

恢复代码如下

//获取现在的中断地址
 __asm  sidt  idt_info
  idt_entries = (IDTENTRY*) MAKELONG(idt_info.LowIDTbase,idt_info.HiIDTbase);

  //表示将处理器标志寄存器的中断标志为清0,不允许中断
  __asm cli
  //用我们保存的地址来替换掉
  idt_entries[NT_INT_TIMER].LowOffset = (unsigned short) old_ISR_pointer;
  idt_entries[NT_INT_TIMER].HiOffset = (unsigned short)((unsigned long)old_ISR_pointer >> 

16);
  //表示将处理器标志寄存器的中断标志置1,允许中断
  __asm sti

到这里恢复就完成了。

呵呵，可是XTrap没有我想像的那么单纯。当我恢复的时候立马蓝屏。估计是有线程在不停的检测这个

地址是否被恢复。如果被恢复那就给你一个蓝屏的钙。于是我把除主线程以外的其它线程都挂起。然后

再恢复。

终于不蓝了。上调试器可以进行附加搜索能操作。但是只要执行中断操作程序立马挂掉。不知道是什么
原因。估计是还HOOK了其它地方。还是多学点调试吧以后直接逆向它的代码来看看。

上篇提到了关于网上流传查找PHP webshell的python脚本中，不严谨的代码，并且给出了一个python的检测代码，同时，下文里也提到不能检测到反引号的命令执行的地方。今天，我想了下，现在把思路发出来。

先来看下反引号可以成功执行命名的代码片段。代码如下：

	`ls -al`;
`ls -al`;
echo "sss"; `ls -al`;

 $sql = "SELECT `username` FROM `table` WHERE 1";

    $sql = 'SELECT `username` FROM `table` WHERE 1'
/*
无非是 前面有空白字符，或者在一行代码的结束之后，后面接着写，下面两行为意外情况，也就是SQL命令里的反引号，要排除的就是它。
*/

正则表达式该如何写？
分析：
对于可移植性的部分共同点是什么？与其他正常的包含反引号的部分，区别是什么？
他们前面可以有空格，tab键等空白字符。也可以有程序代码，前提是如果有引号（单双）必须是闭合的。才是危险有隐患的。遂CFC4N给出的正则如下：【(?:(?:^(?:\s+)?)|(?:(?P<quote>["'])[^(?P=quote)]+?(?P=quote)[^`]*?))`(?P<shell>[^`]+)`】。

解释一下：

【(?:(?:^(?:\s+)?)|(?:(?P<quote>["'])[^(?P=quote)]+?(?P=quote)[^`]*?))】匹配开始位置或者开始位置之后有空白字符或者前面有代码，且代码有闭合的单双引号。（这段PYTHON的正则中用了捕获命名以及反向引用）

【`(?P<shell>[^`]+)`】这个就比较简单了，匹配反引号中间的字符串。

然后我将这段代码写入程序中，测试跑了一下discuz的程序。结果有一个误报。误报的位置为“config.inc.php”中的“define(‘UC_DBTABLEPRE’, ‘`ucenter`.uc_’);”，什么原因造成的？这行代码符合了前面有闭合的引号，也有反引号的使用，所以，符合要求，被检测到了。如何再排除这种情况呢？这个有什么特殊的？前面有逗号“,”？如果是字符串连接的点号“.”呢？再排除逗号？

好吧，我错了，我不该用我的思维来误导你。换个思路。找下反引号可执行的代码的前面字符串的情况，他们只能是行的开始，或者有空白字符（包括空格，tab键等），再前面也可以有代码的结束标识分号“;”，其他的情况，都是不可以执行的吧？嗯，应该是这样。（如有错误，欢迎斧正）既然思路有了，那正则代码更好写了。如下【(^|(?<=;))\s*`[^`]+`】，解释一下，【(^|(?<=;))】匹配位置，是行的开始，或者前面有分号“;”。【\s*`[^`]+`】空白字符任一个，然后是….(你懂的)。OK，写好之后，检测，又发现一个问题。

匹配引入文件的正则也匹配了“require_once ‘./include/db_’.$database.’.class.php’;”这种代码，什么原因造成的，您自己分析吧。

给出修复之后的python代码，如下：

#!/usr/bin/python
#-*- encoding:UTF-8 -*-
###
## @package
##
## @author      CFC4N   <cfc4nphp@gmail.com>
## @copyright   copyright (c) Www.cnxct.Com
## @Version     $Id: check_php_shell.py 37 2010-07-22 09:56:28Z cfc4n $
###
import os
import sys
import re
import time
def listdir(dirs,liston='0'):
	flog = open(os.getcwd()+"/check_php_shell.log","a+")
	if not os.path.isdir(dirs):
		print "directory %s is not exist"% (dirs)
		return
	lists = os.listdir(dirs)
	for list in lists:
		filepath = os.path.join(dirs,list)
		if os.path.isdir(filepath):
			if liston == '1':
				listdir(filepath,'1')
		elif os.path.isfile(filepath):
			filename = os.path.basename(filepath)
			if re.search(r"\.(?:php|inc|html?)$", filename, re.IGNORECASE):
				i = 0
				iname = 0
				f = open(filepath)
				while f:
					file_contents = f.readline()
					if not file_contents:
						break
					i += 1
					match = re.search(r'''(?P<function>\b(?:include|require)(?:_once)?\b)\s*\(?\s*["'](?P<filename>[^;]*(?<!\.(?:php|inc)))["']\)?\s*;''', file_contents, re.IGNORECASE| re.MULTILINE)
					if match:
						function = match.group("function")
						filename = match.group("filename")
						if iname == 0:
							info = '\n[%s] :\n'% (filepath)
						else:
							info = ''
						info += '\t|-- [%s] - [%s]  line [%d] \n'% (function,filename,i)
						flog.write(info)
						print info
						iname += 1
					match = re.search(r'\b(?P<function>eval|proc_open|popen|shell_exec|exec|passthru|system)\b\s*\(', file_contents, re.IGNORECASE| re.MULTILINE)
					if match:
						function = match.group("function")
						if iname == 0:
							info = '\n[%s] :\n'% (filepath)
						else:
							info = ''
						info += '\t|-- [%s]  line [%d] \n'% (function,i)
						flog.write(info)
						print info
						iname += 1
					match = re.search(r'(^|(?<=;|=))\s*`(?P<shell>[^`]+)`\s*;', file_contents, re.IGNORECASE)
					if match:
						shell = match.group("shell")
						if iname == 0:
							info = '\n[%s] :\n'% (filepath)
						else:
							info = ''
						info += '\t|-- [``] command is [%s] in line [%d] \n'% (shell,i)
						flog.write(info)
						print info
						iname += 1
				f.close()
	flog.close()
if '__main__' == __name__:
	argvnum = len(sys.argv)
	liston = '0'
	if argvnum == 1:
		action = os.path.basename(sys.argv[0])
		print "Command is like:\n	%s D:\wwwroot\ \n	%s D:\wwwroot\ 1	-- recurse subfolders"% (action,action)
		quit()
	elif argvnum == 2:
		path = os.path.realpath(sys.argv[1])
		listdir(path,liston)
	else:
		liston = sys.argv[2]
		path = os.path.realpath(sys.argv[1])
		listdir(path,liston)
	flog = open(os.getcwd()+"/check_php_shell.log","a+")
	ISOTIMEFORMAT='%Y-%m-%d %X'
	now_time = time.strftime(ISOTIMEFORMAT,time.localtime())
	flog.write("\n----------------------%s checked ---------------------\n"% (now_time))
	flog.close()

稍微检测了一下Discuz7.2的代码，还是有误报的，误报的为这种包含sql的代码：

$query = $db->query("SELECT `status`,`threads`,`posts`
		FROM `{$tablepre}forums` WHERE
		`status`='1';
		");

由于这个脚本是按照一行一行的代码来处理的，所以，有这种误报。您自己去修复吧。相对网上流传的脚本来说，还是比较准确的。
欢迎转载。转载请注明来源，以及留下博客链接，同时，不能用于商业用途。（已经修复，增加了反引号后面【\s*;】的判断。2010-07-27 17:06）

PS：如果说上传文件也算是危险的、值得注意的操作的话，建议加上move_uploaded_file函数的检测。你知道在哪里加的。^_^

2010-12-17 关于这些代码，已经放到google 的代码托管上了。SVN地址为 https://code.google.com/p/cnxct/ 大家个获得最新版。

我是一个PHPer，写的python有点憋，有点懒，还请各位安全界的大牛，程序界的前辈不要鄙视，要给建议，谢谢。php版的以后在写吧。同时，也欢迎各位安全爱好者反馈最新的web shell特征代码，我尽力增加到程序中区。

不是闲着蛋疼，也不是批评谁，只是不忍心看到不严谨的代码在网上被疯传，误导初学者。以下引用的代码以及思路来自网络，只针对代码，不针对人。如有雷同，纯属巧合。

来自某大牛python版本的检测服务器上PHP代码中webshell的脚本代码片段如下：

findtype=['.php'，'.inc'] #要检查的文件后缀类型
keywords=[ ["eval\(\$\_POST","发现PHP一句话木马！"], ["(system|shell_exec|exec|popen)","发现PHP命令执行函数!"]]

然后，接着是python处理上面列表（数组），把每个列表的第一个元素作为正则表达式内容，然后进行匹配处理的。先看第一个检测“PHP一句话木马”的这个正则。【eval\(\$\_POST】这里转义了字符【_】，字符“_”不是元字符，不需要转义的，其实，转义也无妨，聪明的正则表达式引擎会识别修正的。来说下这个思路的遗漏之处。这里仅仅匹配字符串“eval(”后面的变量“$_POST”，如果是“$_GET”呢？如果是“$_REQUEST”呢？如果程序先把$_POST/$_GET/$REQUEST的key的变量先赋值给一个自定义的变量名，然后在用PHP的“eval”函数执行这个变量呢？是不是就查找不到了？其实，并不需要知道“eval”函数执行的变量名是什么，只要查找“eval(”即可，当然，还要注意“eval”函数后面可以有空格，tab键之类空白字符。上面的代码片段中，也没考虑到这一点。

再看看下一个列表的第一个元素。【(system|shell_exec|exec|popen)】，这个正则的意思是只要字符串里包含“system”、“shell_exec”、“exec”、“popen”这四组字符串即判定为危险字符。很明显，这个方法太不严谨。如果程序员写的代码中，包含了这四组字符，即可被判定为危险函数。很不准确，误报率极高。见下图

到底什么样的代码是可疑的代码？关键词是什么？

可疑的代码肯定是由可以执行危险操作的函数构成，可以执行危险操作的PHP函数最重要的就是“eval”函数了，对于加密的PHP代码（仅变形字符串，非zend等方式加密），肯定要用到“eval”函数，所以，对于不管是用哪种加密方法的代码，肯定要用到“eval”函数。其次就是可以执行系统命令的函数了，比如上面某牛的代码中提到的四个“system”、“shell_exec”、“exec”、“popen”。当然还有其他的，比如passthru等。PHP还支持“·”字符（ESC键下面那个）直接执行系统命令。我们可以把正则写成这样【\b(?P<function>eval|proc_open|popen|shell_exec|exec|passthru|system)\b\s*\(】。

解释一下：

大家都知道【\b\b】用来匹配单词两边的位置的。要保证【\b\b】中间的是单词，即使函数名前面加特殊字符，也一样通过匹配，比如加@来屏蔽错误。后面的【\s*】用来匹配空白字符的，包括空格，tab键，次数为0到无数次。前面的【(?P)】是捕获命名组。用来当作python代码直接引用匹配结果的key。

还有的网友提到了，如果我把代码放到图片拓展名的文件里呢？那你只检测.php，.inc的文件，还是找不到我的呀。嗯，是的，如果恶意代码在gif、jpg、png、aaa等乱七八糟的拓展名文件里，是不能被apache、IIS等web Services解析的，必须通过include/require(_once)来引入。那么，我们只要匹配include/require(_once)后面的文件名是不是常规的“.php”、“.inc”文件。如果不是，则为可疑文件。正则如下【(?P<function>\b(?:include|require)(?:_once)?\b)\s*\(?\s*["'](?P<filename>.*?(?<!\.(?:php|inc)))["']】。

解释一下：

先看【(?P<function>\b(?:include|require)(?:_once)?\b)】，【(?P<name>)】为正则表达式的“命名捕获”，PHP中有同样的用法。也就是说，在这括号内的捕获的数据，会分配到结果数组的key为“name”的value中。再看里面的【\b(?:include|require)(?:_once)?\b】,【\b\b】不解释了，为单词边界位置。里面的【(?:include|require)】匹配字符串“include”、“require”两个单词，其中前面的【(?:)】未不分配组，用于提高效率，可以去掉【?:】变成【(include|require)】。在后面一个【(?:_once)】也是做不分配组的操作，便于提高正则表达式效率。同样，后面的量词是“?”代表这个组可有可无。就满足了“include”、“include_once”、“require”、“require_once”四种情况。有的朋友可能这样写【(include|include_once|require|require_once)】也能实现目的。但是，为了更搞的效率，我们对这个正则做优化，针对部分字符串做分支更改，改成上面那个【\b(?:include|require)(?:_once)?\b】。

再看下面的【\s*\(?\s*["'](?P<filename>.+?(?<!\.(?:php|inc)))["']】中，【\s*】匹配空白字符，包括空格，tab键等。后面的【\(?】，匹配字符“(”，后面的量词“?”表示这半个小酷括号可有可无。防止“incude “123.php””这种没有括号的情况。再后面【["']】匹配双引号，单引号的。最后的也是。再看看这个【(?P<filename>.+?(?<!\.(?:php|inc)))】，其中【(?P<filename>)】上面介绍了，为命名捕获，把结果放到match.group(“filename”)里。【.*?】为任意字符，后面的量词是“忽略优先量词”，也就是平常说的“非贪婪”。这里最少匹配零个，（防止.aa、.htaccess这种没有文件名，只有文件拓展名的文件被引入）。后面的【(?<!\.(?:php|inc))】，这里用到了反向零宽断言（环视）的非操作（只匹配位置，不匹配字符串，跟【^$\b】等一样）。这个表达式是针对这个位置的后面字符起作用的，也就是说后面的【["']】的前面不能是“.php”、“.inc”，这里也就是取了文件名的最后的拓展名。（正则里，可以用【^】对字符取非，但是不能对“字符串组”取非，这里用了零宽断言来实现。）

综上所述，最后，鄙人给出的python代码如下：

#!/usr/bin/python
#-*- encoding:UTF-8 -*-
###
## @package
##
## @author      CFC4N   <cfc4nphp@gmail.com>
## @copyright   copyright (c) Www.cnxct.Com
## @Version     $Id: check_php_shell.py 37 2010-07-22 09:56:28Z cfc4n $
###
import os
import sys
import re
import time
def listdir(dirs,liston='0'):
	flog = open(os.getcwd()+"/check_php_shell.log","a+")
	if not os.path.isdir(dirs):
		print "directory %s is not exist"% (dirs)
		return
	lists = os.listdir(dirs)
	for list in lists:
		filepath = os.path.join(dirs,list)
		if os.path.isdir(filepath):
			if liston == '1':
				listdir(filepath,'1')
		elif os.path.isfile(filepath):
			filename = os.path.basename(filepath)
			if re.search(r"\.(?:php|inc|html?)$", filename, re.IGNORECASE):
				i = 0
				iname = 0
				f = open(filepath)
				while f:
					file_contents = f.readline()
					if not file_contents:
						break
					i += 1
					match = re.search(r'''(?P<function>\b(?:include|require)(?:_once)?\b)\s*\(?\s*["'](?P<filename>.*?(?<!\.(?:php|inc)))["']''', file_contents, re.IGNORECASE| re.MULTILINE)
					if match:
						function = match.group("function")
						filename = match.group("filename")
						if iname == 0:
							info = '\n[%s] :\n'% (filepath)
						else:
							info = ''
						info += '\t|-- [%s] - [%s]  line [%d] \n'% (function,filename,i)
						flog.write(info)
						print info
						iname += 1
					match = re.search(r'\b(?P<function>eval|proc_open|popen|shell_exec|exec|passthru|system)\b\s*\(', file_contents, re.IGNORECASE| re.MULTILINE)
					if match:
						function = match.group("function")
						if iname == 0:
							info = '\n[%s] :\n'% (filepath)
						else:
							info = ''
						info += '\t|-- [%s]  line [%d] \n'% (function,i)
						flog.write(info)
						print info
						iname += 1
				f.close()
	flog.close()
if '__main__' == __name__:
	argvnum = len(sys.argv)
	liston = '0'
	if argvnum == 1:
		action = os.path.basename(sys.argv[0])
		print "Command is like:\n	%s D:\wwwroot\ \n	%s D:\wwwroot\ 1	-- recurse subfolders"% (action,action)
		quit()
	elif argvnum == 2:
		path = os.path.realpath(sys.argv[1])
		listdir(path,liston)
	else:
		liston = sys.argv[2]
		path = os.path.realpath(sys.argv[1])
		listdir(path,liston)
	flog = open(os.getcwd()+"/check_php_shell.log","a+")
	ISOTIMEFORMAT='%Y-%m-%d %X'
	now_time = time.strftime(ISOTIMEFORMAT,time.localtime())
	flog.write("\n----------------------%s checked ---------------------\n"% (now_time))
	flog.close()
## 最新代码在文章结尾的链接里给出了。2010/07/31 更新。

仅供参考，欢迎斧正。

下面截图为扫描Discuz7.2的效果图，当然，也有误报。相对网上流传的python脚本，误报更少，更精确了。

问：这个方法完美了吗？可以查找目前已知的所有危险函数文件了吗？
答：不能，如果include等引入的文件没有拓展名，这里就匹配不到了。
问：如何解决？
答：留给你解决，聪明的你，肯定可以搞定。
PS：“`”反引号 执行命令的还没写，暂时没好的办法。容易跟SQL语句中的反引号混淆。不太好匹配。如果光匹配反引号就提示的话，那误报太大了。待定吧。（术业有专攻，请勿因为一处不好的代码，否定一个人的能力。你懂的。再次重申，此文只针对代码，不针对人。其次，鄙人给出的python代码随便复制，随便传播，爱留版权就留版权，不爱留就删了相关字符，也就是您爱干吗干吗。）
我先休息一会，明天再说。（前半句为三国杀曹仁的台词，哈。）

=============================我是万恶的分割线======================================
最新代码在这里给出了。

上周提到老爷机坏了，昨天早上早早的抱去修理，维修工程师更换硬件排除法最后得知，故障出现在显卡，插入显卡，主板灯亮，按开关，没反映，或者CPU风扇抖动一下即停止。卸下显卡，开机正常。这位维修人员的结论是显卡坏了，建议更换显卡。我们有N卡9200，只要320元。我提出把显卡放到别的主机上试试，被拒绝了，好吧，那我也拒绝。最后，对方收我20元检测费。虽然我心里有点不情愿，他只是换了几个零件的简单排除法得出很有可能的结论而已，并没有告诉我准确的病因，是显卡的哪里出问题了？能否维修？他都没有告诉我。尽管这样，我还是给了，也没争论。

主机抱回来之后，自己卸下了显卡。开机，上网，打算到网上买块新的。老的显卡是我07年在学校买的。ATI RADEON X550，在当初，还算比较前卫的硬件。周五还赞扬其能勤奋工作到现在，而结果得知出问题的就是它。工作了3年多，不到四年，还能接收吧。主板换了华硕P5GC-MX/1333 ,作为硬件小白的我，也不知道换什么显卡较好。熟悉硬件的朋友，麻烦留言告诉一下，感谢了。现在打开网页，拉动浏览器滑动条的时候，卡的比较厉害，播放电影更是，像放映幻灯片一样。实在不能接受。遂网上搜了相关信息。价格在500左右。是有点贵了。遂暂时作罢。一整天心情都很低落，或者说，自从老爷机出问题了，心情一直很差。中午窝在家里，洗了洗衣服，趁太阳好，把冬天穿的衣服拿出来晒了晒。又挪动电脑附近的两个大桌子，打扫卫生，清理一番。一直忙到下午3点，头饿的晕忽忽的。匆忙到沙县小吃随便吃了点，下午，看会书，睡了会觉，早上送GF回家，起得太早了，困的厉害。睡醒之后，都7点多了，照照镜子，看看自己蓬松的发型，猥琐的样子，不禁笑了一笑。洗了把脸，到小区的理发店里剪了头发，由于是小区内，专门给老头老太太理发的，所以费用仅5元，在上海，应该没有比这还低了吧。晚上，把显示器接到电视盒上，看了会电视，差不多都是娱乐类的弱智脑残节目，我极为反感觉，又将显示器接回主机箱，开机到当当网上看了一番。因工作需要,要做个代码自动审计化的程序，我的想法是，不仅仅停留在对关键危险函数的正则匹配，而是做到语法分析，识别未初始化的变量、未过滤的富文本字段、SQL注入的方法等。想必，肯定的熟悉《编译原理》以及LEX、YACC之类相关知识，后悔大学没认真听，造成自己基础薄太弱了。当然，我也觉得大学的时候，直接教学生这么底层的知识没有循序渐进的引导学生去深入更好。可以从最简单的网页制作开始，然后，让学生对其感兴趣，再引导到动态，然后，联合数据库，然后效率优化，然后代码执行原理，然后编译原理类似这种步骤引导学生更好。比起现在的方式，可能更让学生感兴趣。（扯远了）东看西看，忙到了12点多才睡。

对于已经习惯8点左右起床上班的我来说，生物钟在早上8点左右，准时醒，有时候想赖床，但也无法再次入睡。起床洗漱，打开电脑，玩了两局web的三国杀，逛逛论坛，觉得饿了，才去煮点面条吃。回来继续，无意中打开PPC，看到一位网友“落叶人生”同学的帖子问一个正则问题，纠结了一下是否解释一下，以便给对方释疑解惑，也加固自己的知识。犹豫半天，觉得还是写下吧。下面正题：

PPC链接http://bbs.phpchina.com/thread-189797-1-1.html

1. preg_match_all(“‘<\s*a\s.*?href\s*=\s*([\"\'])?(?(1)(.*?)\\1|([^\s\>]+))[^>]*>?(.*?)</a>’isx”,$document,$links);

对于一般的规范链　接能很好的使用，但不知道为什么对href=后面的网址不含引号的情况无法提取成功，哪个朋友帮分析下？谢谢！

其实，我没明白他的意思是想提取链接地址href后面的内容的，还是提取整个标签a中间的所有。

在下面的回帖中，他提到了这个正则来自snoopy.class.php的_striplink方法中的正则，遂到sf.net上下载一份原版到本地。

代码如下

	function _striplinks($document)
	{
		preg_match_all("'<\s*a\s.*?href\s*=\s*			# find <a href=
						([\"\'])?					# find single or double quote
						(?(1) (.*?)\\1 | ([^\s\>]+))		# if quote found, match up to next matching
													# quote, otherwise match up to next space
						'isx",$document,$links);

		// catenate the non-empty matches from the conditional subpattern

		while(list($key,$val) = each($links[2]))
		{
			if(!empty($val))
				$match[] = $val;
		}

		while(list($key,$val) = each($links[3]))
		{
			if(!empty($val))
				$match[] = $val;
		}

		// return the links
		return $match;
	}

先看下修饰符部分。【isx】，大家都知道【i】是不区分大小写；【s】是点号通配模式，也就是元字符【.】可以匹配换行符。在这里的作用是为了防止链接中出现换行的情况；
【x】宽松排列和注释模式，也就是空白字符不会被当成正则表达式的一部分，#后面的为注释，方便阅读的作用了。顺便说下括号后面的双引号后面的单引号，跟修饰符i前面的单引号，他们只是正则的起始标识，不是正则的一部分。其实，表达式里有单引号了，这里最好使用别的，比如斜杠，或者闭合的大括号等。
再看表达式【<\s*a\s.*?href\s*=\s*】,其后面也注释了，是匹配“<a href=”的，第一个【\s】匹配”<”到”a”之间的空白字符，不过一般都没的吧。都直接写”<a……”。后面的【\s】也是空白字符，不详细解释了。在后面的【.*?】是匹配“<a “到“href=”之间的内容，比如”title=”…..”、target=”….”等。【href=】中没有元字符，就是匹配【href=】.

再后面【([\"\'])?】这里的单引号，双引号是被PHP语法转义的，真正的表达式是【(["'])?】,匹配单引号和双音号，并且，用小括号分配了组（整个表达式的第一组），后面有【?】量词，意味这可有可无。

再后面很重要了。去掉PHP的转义字符之后【(?(1) (.*?)\1 | ([^\s>]+)】，这是一个正则表达式的高级用法，叫“条件判断”表达式。语法为【(? if then| else)】。这里的if部分为【(1)】也就是前面说的“整个表达式的第一组”的内容，如果为真，则使用表达式【(.*?)\1】来匹配（\1是引用捕获的第一个组的内容），如果【(1)】没匹配到，则使用【([^\s>]+)】来匹配。这样，就可以实现没有引号的情况下，也是可以匹配到了。（正则表达式的条件判断语法，【|else】可以不写，表示不用else部分的表达式）

对于楼主的问题。应该怎么改？我刚刚刷新了帖子，看到楼主的正则是可以匹配的呀。

汗，贴下PHP的代码吧。

if (preg_match('%<\s*a\s.*?href\s*=\s*(["\'])?(?(1)(.*?)\1|([^\s>]+))[^>]*>(.*?)</a>%si', $subject)) {
	# Successful match
} else {
	# Match attempt failed
}

文章标题跟内容有很大出入，见谅哈。

我的老爷机：
06年买的主机箱+飞利浦CRT显示器，07年更换电源风扇，08年上半年分别更换了主板，硬盘，下面年，在内存最低价的时候，99块包快递买了DDR2 667的内存条一根，更新了老内存。09年再次更换了电源风扇，10年由于换地方住，搬家，桌子太靠墙，CRT大屁股显示器放不下，买了优派的22寸液晶显示器，鸟枪换炮了，哈。CRT显示器忍痛割爱以50元的价格卖给了小贩，哎，心痛。接着，鼠标又不灵了，更换了鼠标。从06年坚守到现在的器件只有CPU、主机箱、显卡，光驱、键盘了。

昨天晚上，10点半左右，老爷机又突然间罢工了，顿时，我心急如焚呀，心想即将到来的周末，作为宅男，我不能接受。赶紧调试吧。首先，我以为是天气太热，导致CPU温度过高，激活主板自动保护策略，强制关机的。赶紧把CPU风扇拿出来，放到空调边吹了会，装上去之后，开机，还是不行，主板灯亮了，但是CPU风扇不转，而且，电源也没反映，我愕然了，难道电源又坏了不成？好吧，我认输，周末再说吧，睡觉。

前序：
在老爷机罢工之前，一群内网友求助正则匹配html标签中 table之间的内容，要发现的第一个table之间的内容。字符串大约为

<table class="t1 t2"><tr><td><table class="t1 t2">sssssssssssssssss</table></td></tr><tr>
<td><table class="t1 t2">ss
sssssssssssssss</table></td></tr></table>

同学A提供【<table[\s\S]*</table>】(具体记不清了，大体是这个)

这个正则的匹配结果是不能满足其要求的，很明显，【*】为量词优先，导致贪婪匹配把后面最后一个</table>之前的字符串全部匹配进去了。

见截图：

接着，另外以为网友提到，后面加U修饰符。对于这个正则，对于这个要求，加U修饰符能达到目的吗？ 答案是可以的。为什么？这种方式可靠吗？有风险吗？有其他方法吗？

先来解释一下U（大写字母U，非小写，小写的是uincode字符模式）是干吗的？ 是对“匹配优先量词（贪婪）”与“忽略优先量词（非贪婪）”的取反，也就是说，原来是【*】、【+】的，会按照【*?】、【+?】来执行，如果是【*?】、【+?】的，则按照【*】、【+】来执行，这个修饰符很怪，很乱，如果正则为【\w+】,为了达到“非贪婪匹配”，使用了修饰符U。过几天，你修改了这个正则，修改为【\w+\s+?】,你的本意是在原来的基础上，加上非贪婪的空白字符的匹配，可是，后面的大写字母U修饰符也对你前面的非贪婪取反了，从而，导致匹配错误，所以，建议大家不要使用大写字母的U修饰符，直接在表达式里写好贪婪还是非贪婪。

我的答案是【<table[^>]+?>(?>((?!</table>).(?<!<table))+)</table>】。

我靠，你这这什么玩意？这么乱？这是什么意思？

解释一下：

1. 【<table[^>]+?>】部分是匹配“<table class=”t1 t2″>”这种table的开头，包括属性的字符串，其中，使用了忽略优先量词（非贪婪），由于其属性不会太多，常规下不超过50个字符串，所以，没有使用固化分组，或者占有优先量词来减少回溯。
2. 【</table>】(最后面的)是匹配字符串结束的。不用解释了吧。
3. 【(?>((?!</table>).(?<!<table))+)】这个比较长，主要是匹配<table….到</table>中间的字符串，其中最外面一层【(?>)】是占有优先量词，用来防止不必要的回溯，防止中间超长的字符串造成崩溃。【(?!</table>)】是顺序零宽断言非操作，匹配位置，针对其后面的规则【.】，意思就是说，规则【.】后面不能是字符串“</table>”，同样正则【(?<!<table】是逆序零宽断言非操作，也匹配位置，针对其前面的规则【.】，意思就是说，规则【.】前面不能是字符串“<table…”，这样，两个零宽断言来确定一个字符串，如果是多个字符串，则加上匹配优先量词【+】，但是这个【+】的位置要注意了，不能直接放在【.】的后面，因为要保证每个【.】匹配的字符串，前后的规则都符合两个零宽断言，则需要放在外面，也就是上面所写的那样。

OK，解释完毕，你明白了没？如果没，那是我的错。请留言，批评，我承认错误。（当使用匹配的时候，为了更准确，建议开启不区分大小写模式，以及，多行匹配模式，即修饰符i和修饰符s，小写的s，不是大写的，大写的S是另外的含义<以后写>。）

见截图：

测试代码：

$str='111<table class="t1 t2"><tr><td><table class="t1 t2">sssssssssssssssss</table></td></tr><tr>
<td><table class="t1 t2">ss
sssssssssssssss</table></td></tr></table>ssss';
preg_match_all('%<table[^>]+?>(?>((?!</table>).(?<!<table))+)</table>%si', $str, $result, PREG_PATTERN_ORDER);
print_r($result[0]);

我的答案可以解决问题吗？可以。准确吗？还行，不太准。为什么？如果table中间有嵌套，则无法正确匹配。如何修复？正则递归匹配。如果递归？

留给你研究吧。CFC4N小试正则表达式里已经介绍了一个关于递归匹配的例子，你可以参考一下。

后续：

老爷机挂了，我一夜没睡着，早上6点10分就醒了，起来之后，捣鼓两下，也没心情了，已经知道大体的症状。手头没工具，也没法测试，算了，索性洗漱去公司。走的早也好，地铁上没多少人，一路不拥挤，唯一的缺点就是没拿到“时代报”。不过到了公司楼下，有派发的，顺手拿了一份。到座位上，心思还在我心爱的老爷机上，也有重新买台新机器的想法，到DELL官方网站上搜了几下，发现价格奇贵，光主机，都4K-5K，看了一会，我就大小这个念头了，作为寄生在这大城市的P民，也别要求太高了。讲究用吧。哎，打算周末冒热抱出去找维修铺，各位，祝福我吧。

PS：下午，拿了早上没看的报纸去厕所，心想，这次终于不干等了，可以打发时间了。当我到厕所里的时候，我震惊了，我靠，马桶上起码5份报纸，而且，还都不一样。汗。

运行效果

先简单说一下SSDT HOOK。应用程序的API在使用的时候要调用系统的低层的API

那么系统如何找到对应的API呢？在系统里有一张表。

System Services Descriptor Table，系统服务描述符表。

在这个表里就有各种系统API的地址，我们只要把这些地址改成我们自己函数的地址。

那么结果大家可想而知了，系统就会调用我们的API了。道理就是这么简单。当然实现

起来也很简单。

说一下步骤

首先我们要定义一个SSDT的结构代码如下

typedef struct ServiceDescriptorEntry
{
	unsigned int *ServiceTableBase;
	unsigned int *ServiceCounterTableBase; //Used only in checked build
	unsigned int NumberOfServices;
	unsigned char *ParamTableBase;
} SSDTEntry;
__declspec(dllimport) SSDTEntry KeServiceDescriptorTable;

然后我们要定义一个自己的API函数，这个函数根据你要HOOK的API来

NTKERNELAPI NTSTATUS ZwTerminateProcess(IN HANDLE ProcessHandle OPTIONAL, IN NTSTATUS 

ExitStatus);

当然还要一个结构来保存要HOOK的API。为什么要保存，当然是为了恢复。:）他的结构如下

typedef NTSTATUS(*_ZwTerminateProcess)(IN HANDLE ProcessHandle OPTIONAL,IN NTSTATUS 

ExitStatus);
_ZwTerminateProcess Old_ZwTerminateProcess;

好了，下面我们要开始把SSDT里的API替换成我们的了。替换之前先把原先的API保存下。代码如下

	//找出旧函数地址并保存
	Old_ZwTerminateProcess =(_ZwTerminateProcess)(GetSystemFunc(ZwTerminateProcess));

#define GetSystemFunc(FuncName) KeServiceDescriptorTable.ServiceTableBase[*(PULONG)

((PUCHAR)FuncName+1)]

然后我们要改写了。当然系统不会那么随便就让我们来改写这个地址。它是受保护的只能读不能写。

那么我们怎么办呢？创建一个MDL来解决。代码如下

	//设置内存为可写
	MDSystemCall = MmCreateMdl(NULL, KeServiceDescriptorTable.ServiceTableBase, 

KeServiceDescriptorTable.NumberOfServices*4);
	if(!MDSystemCall)
		return STATUS_UNSUCCESSFUL;
	MmBuildMdlForNonPagedPool(MDSystemCall);
	MDSystemCall->MdlFlags = MDSystemCall->MdlFlags | MDL_MAPPED_TO_SYSTEM_VA;
	MappedSCT = MmMapLockedPages(MDSystemCall, KernelMode);

已经可以修改了那么我们要修改了。代码如下

HookOn( ZwTerminateProcess, NewZwTerminateProcess);

#define HookOn(_Old, _New) \
	(PVOID) InterlockedExchange( (PLONG) &MappedSCT[GetIndex(_Old)], (LONG) _New)

这样就把地址修改成我们的了，下面怎么处理自己看着办好了。我这里是仿止结束。

//通过ProcessHandle来获得当前要结束的进程的EPROCESS
	if (ObReferenceObjectByHandle

(ProcessHandle,GENERIC_READ,NULL,KernelMode,&SJMPROCESS,0) == STATUS_SUCCESS)
	{
		//如果要结束的是我们需要保护的进程,这里分两种情况
		if (ZHUPROCESS== SJMPROCESS)
		{
			if (ZHUPROCESS != PsGetCurrentProcess())
			{//情况一:当前进程不是我们所保护的进程
				//换句话说也就是其他进程试图结束我们所保护的进程,当然不能

让他结束
				nStatus = STATUS_ACCESS_DENIED;
			}

		}
	}

用完了当然要把它恢复，恢复代码如下

//卸载Hook
	UnHook( ZwTerminateProcess, Old_ZwTerminateProcess);

#define UnHook(_Old, _New) \
	InterlockedExchange( (PLONG) &MappedSCT[GetIndex(_Old)], (LONG) _New)

差点忘了 MDL也要恢复 呵呵 恢复代码如下

	//解锁、释放MDL
	if(MDSystemCall)
	{
		MmUnmapLockedPages(MappedSCT, MDSystemCall);
		IoFreeMdl(MDSystemCall);
	}

至此大致过程已经完了。

酷暑难耐，又在家宅一整天。天气热或许是借口，尽管不热，我也喜欢宅在家。晚上看新三国83集（插一句，最近世界杯很火，可是我不看世界杯。来鄙视我吧），一直看到10点半，突然觉得肚子痛，赶紧直奔厕所。如厕之后，觉得精神抖擞，容光焕发，年轻了二十多岁，打开QQ，看到N多条消息，其中有条是生命如蓝同学留的。打开一看，是PPC的链接，突然觉得我好久没登陆PPC了，想当年……..算了，看链接吧。

打开链接，看到标题是“请教PHP 一个正则匹配的问题”，又是正则表达式，好吧，看下，谁让俺比较喜欢鼓捣正则呢。下面开始正题。
网友ainiaa的问题是

PHP代码如下

$words = "0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSRUVWXYZ!@#$%^&*()_+-=[]\\,./{}|<>?'\"你好啊我们";
$otherStr=preg_replace("/[chr(128)-chr(256)]+/is"," ",$words);
echo 'otherStr:',$otherStr;

为什么打印的结果会是：
otherStr: ! #$% & {}| ‘”你好啊我们

麻烦问下其中正则表达式 /[chr(128)-chr(256)]+/is 代表什么意思？
如果/[chr(128)-chr(256)]+/is 指的是ascii码在128到256的字符，为什么a-zA-Z这样的字符也被替换掉了，他们的ascii码是小于127的。
最令人郁闷的是为什么ascii码同在0-127区间”#”,”$”,”%”,”&”, “!”,” {“,”}”,”|”,” ‘”,”确没有被替换掉？？？？
更令人感觉神奇的是 如果把正则表达式修改为”/[chr(128)-chr(256)]+/s”的话，输出的结果就变成了： otherStr: defg ijklmnopq stuvwxyz ! #$% & {}| ‘”你好啊我们
只是把正则表达式中的符号‘i’给去掉，结果缺失这样的。 完全的令我理解不了。
不知各位 有何见解？？？？
另附ascii 码 对照表
（这个ASCII码表的图我就不贴了）

回帖中，有个网友说没解析chr(128)这些，并给出了新的解决方法。首先说下此网友回答的是正确的，先不评论他是否“知其然，且知其所以然”，这位网友没有给出错误的原因。

CFC4N来回答一下这位网友：

PHP的正则的preg_match函数用的是PCRE正则引擎，这位网友的代码中，PCRE引擎处理的正则表达式为【/[chr(128)-chr(256)]+/is】，后面的is是什么呢？
在PHP的正则里，边界字符后面的叫模式修饰符。它会告诉引擎如何解析，处理正则。其中i修饰符表示不区分大小写。s表示“点号通配模式”，用来让正则里的元字符点号【.】可以匹配换行符，这个修饰符仅对点号【.】起作用。在这位网友的问题中，修饰符s并不起作用的。

查找原因：
我们在来分析一下这个网友写的正则表达式【[chr(128)-chr(256)]+】，正则表达式的PCRE引擎是如何解释这个正则的呢？首先，我们要知道，在正则表达式中，中括号【[]】表示字符组，字符组中除了连接符【-】只外，都不是元字符，也就是说，都是普通字符，当然，如果连字符出现在第一个，或者不是标识两个字符之间范围的，都是普通的字符横杠“-”罢了。这里的chr(128)只是标识ASCII码为128（确切的说，ASCII码只是0-127个，128到其他的，应该不叫ASCII码了。），但是在正则里，他仍然代表【c、h、r、(、1、2、8、)】（顿号不是，只是区分易读的）这八个字符罢了。这个正则里的连接字符，是哪些范围呢？很明显，这里的连接字符的范围是【)-c】，“)”ASCII码为0×29，也就是十进制的41；“c”的ASCII码为0×63，也就是十进制的99，那么，他这个连接字符的范围就是ASCII 41（chr(41)）到ASCII 99（chr(99)）之间的字符。也就是说，这位网友的正则的范围是【[hr)-c(]】，就是chr(41)到chr(99)外加hr这两个字母和前面的“(”。
网友第一次测试的时候，有修饰符i，意思就是说，不区分大小写，那么在chr(41)到chr(99)之间的字符，以及这些字符如果有大小写，则包括他们的大小写都符合匹配。都会被替换成空。其第二次测试的时候，去掉了修饰符i，进行了不区分大小写的匹配，由于其范围只到c，但突然，再除了小写字母的“h”、“r”，所以，测试结果会多出“defgijklmnopqstuvwxyz”。所以，他的结果出现了这些差别。

网友的表达式等同于如下图所示

解决办法：
错误的原因找出来了，那么，解决的办法呢？
我们先来看看这位网友的需求，他的需求是将unicode（ASCII只是0-127位的，128之后的，应该叫UNICODE码）的chr(128)到chr(255)之间的字符匹配，替换为空罢了。正则表达式里，对十六进制的字符匹配的表示方式有两种，【\u】和【\x{}】，前者只能表示【\u】后面4位的十六进制数值，而后者【\x{}】则可以表示任意多的十六进制位数（写在大括号中）。
那么，这个正则表达式该如何写？？？？

网友的目的是chr(128)到chr(255)，那么就是【[\u0080-\u00FF]】或者【[\x{0080}-\x{00FF}]】。
其目的是匹配下图中的红框内字符

提醒一下，PHP里正则匹配unicode字符时，需要使用u修饰符。
根据网友需求，更改正则之后的PHP代码如下：

$words = "0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSRUVWXYZ!@#$%^&*()_+-=[]\\,./{}|<>?'\"你好啊我们";
$otherStr=preg_replace("//[\x{0080}-\x{00FF}]+/iu"," ",$words);
echo 'otherStr:',$otherStr;

其运行结果是仍然输出那段字符串，为什么呢？因为哪些字符串都不在chr(128)到chr(255)的范围之内。
（测试时，注意文件编码为UTF-8）
以上为鄙人愚见，欢迎批评指正。