如何使用正则表达式匹配被混淆的函数名（以PHP字符串拼接为例）

本教程旨在解决php等语言中常见的通过字符串拼接混淆函数名（如`gzinflate(base64_decode(`）的场景，详细介绍如何利用正则表达式进行有效匹配。文章将探讨不同程度的混淆手法，并提供通用的正则匹配策略，包括处理字符串连接符和任意分隔符，旨在帮助安全研究人员和开发者构建更健壮的检测规则，尤其适用于yara等代码扫描工具。

理解字符串拼接混淆

在PHP等动态语言中，攻击者或开发者常利用字符串拼接来混淆代码，以规避静态分析或隐藏恶意行为。这种技术使得传统的字面字符串匹配失效。例如，原本清晰的函数调用gzinflate(base64_decode())可能会被改写成以下形式：

eval("\$x=gzin"."flate(base"."64_de"."code()));

在这种情况下，函数名gzinflate和base64_decode被拆分为多个部分，并通过"."连接符进行拼接。更复杂的场景可能包括变量插值、数组implode操作，甚至是在字符串中插入注释或空白字符。例如，一个简单的implode操作也能达到类似效果：

$array = ["\$x=gzin", "flate(base", "64_de", "code()"];
$str = implode($array); // $str 最终会是 "$x=gzinflate(base64_decode()"
eval($str);

无论采用何种拼接方式，其核心思想都是在代码执行前，将分散的字符串片段重新组合成完整的可执行代码。因此，我们需要构建能够识别这些片段及其之间可能存在的各种分隔符的正则表达式。

构建健壮的正则表达式

要有效匹配被混淆的函数名，核心策略是将目标函数名拆分为其不可分割的字面部分，并在这些部分之间插入通配符，以匹配各种可能的连接符或分隔符。

立即学习“PHP免费学习笔记（深入）”；

1. 识别目标函数名的关键部分 以gzinflate(base64_decode(为例，其关键的字面部分包括：gzin、flate、(、base、64_de、code、(。

2. 选择合适的分隔符匹配模式

   

   AI at Meta

   Facebook 旗下的AI研究平台

   下载
   • 匹配常见连接符（如"."、"、'）：如果混淆主要通过PHP的字符串连接符（.）和引号（"或'）实现，可以使用 (?:\"|\'|\.)* 来匹配零个或多个双引号、单引号或点号。
   • 匹配任意非单词字符：\W* 是一个更通用的选择，它能匹配零个或多个非单词字符（包括标点符号、空格、特殊符号等），这通常能覆盖"."、"、'以及括号等分隔符。
   • 匹配任意空白字符：\s* 用于匹配零个或多个空白字符（空格、制表符、换行符等），这在函数名和括号之间处理空格时非常有用。
   • 匹配任意字符（非贪婪）：.*? 是最宽松的模式，它非贪婪地匹配任意零个或多个字符。虽然它能匹配所有可能的分隔符，但可能会导致性能问题或误报，应谨慎使用。

3. 构建示例正则表达式 结合上述原则，我们可以为gzinflate(base64_decode(构建一个相对健壮的正则表达式：

   gzin\W*flate\s*\(\s*base\W*64_de\W*code\s*\(

   • gzin：匹配字面字符串gzin。
   • \W*：匹配gzin和flate之间可能存在的零个或多个非单词字符（例如"."、"）。
   • flate：匹配字面字符串flate。
   • \s*：匹配flate和第一个(之间可能存在的零个或多个空白字符。
   • \(：匹配字面左括号。
   • \s*：匹配第一个(和base之间可能存在的零个或多个空白字符。
   • base：匹配字面字符串base。
   • \W*：匹配base和64_de之间可能存在的零个或多个非单词字符。
   • 64_de：匹配字面字符串64_de。
   • \W*：匹配64_de和code之间可能存在的零个或多个非单词字符。
   • code：匹配字面字符串code。
   • \s*：匹配code和第二个(之间可能存在的零个或多个空白字符。
   • \(：匹配字面左括号。

   如果需要更宽松的匹配（但可能增加误报），可以使用 .*?：

   gzin.*?flate.*?\(.*?base.*?64_de.*?code.*?\(

在Yara规则中的应用

在Yara规则中，正则表达式通常定义在strings部分。为了提高匹配的准确性和覆盖面，通常会结合nocase（不区分大小写）、wide（匹配UTF-16编码）和ascii（匹配ASCII编码）等修饰符。

以下是一个Yara规则示例，用于检测上述混淆模式：

rule php_obfuscated_decode
{
    meta:
        author = "Your Name"
        date = "2023-10-27"
        description = "Detects obfuscated gzinflate(base64_decode( patterns in PHP code."

    strings:
        // 使用\W*匹配非单词字符作为分隔符，\s*匹配空白字符
        $s1 = /gzin\W*flate\s*\(\s*base\W*64_de\W*code\s*\(/ nocase ascii wide
        // 如果需要更宽松的匹配，可以使用.*?，但可能影响性能和准确性
        // $s2 = /gzin.*?flate.*?\(.*?base.*?64_de.*?code.*?\( / nocase ascii wide

    condition:
        $s1
}

注意事项与最佳实践

• 性能考量：.*?（非贪婪匹配任意字符）虽然灵活，但在处理大型文件时可能导致严重的性能问题，因为它可能触发大量的回溯。相比之下，\W* 或 [^\w\n\r]*（匹配非单词字符，不包括换行符）通常更高效。在Yara等工具中，应权衡匹配的宽松度和性能。
• 误报与漏报：正则表达式的构建是一个平衡艺术。过于宽松的模式可能匹配到无关代码（误报），而过于严格的模式则可能漏掉新的混淆变种（漏报）。需要根据实际场景和威胁情报不断调整和优化。
• 上下文匹配：仅匹配函数名可能不足以识别恶意行为。在某些情况下，结合上下文信息（例如，匹配敏感函数（如eval、assert）的调用，或者匹配特定的参数模式）可以显著提高检测的准确性。
• 字符集：确保正则表达式的字符集与目标代码的字符集（例如ASCII、UTF-8、UTF-16）相匹配。在Yara中，ascii和wide修饰符有助于处理不同的编码。
• 持续更新：攻击者的混淆技术不断演进。定期审查和更新正则表达式规则，以应对新的混淆手法至关重要。

总结

通过理解字符串拼接的混淆机制，并灵活运用正则表达式的通配符和字符类，我们可以构建出有效检测被混淆函数名的规则。选择合适的匹配模式（如\W*或\s*）而非过于宽泛的.*?，可以在保证一定检测能力的同时，兼顾性能和准确性。在Yara等安全工具中应用这些正则表达式，能够显著增强代码扫描和恶意软件检测的能力。