YARA正则表达式中的{0}重复区间问题解析

在YARA 4.3.2版本中，正则表达式引擎对重复区间{0}和{0,0}的处理存在一个特殊限制。本文将深入分析这个技术细节，帮助安全研究人员和规则开发者理解其背后的原理。

问题现象

当开发者在YARA规则中使用形如{0}或{0,0}的正则表达式重复区间时，会收到"invalid regular expression: bad repeat interval"的错误提示。例如以下规则会触发错误：

rule ip {
  strings:
    $ip = /([^0-9]|){0}10\.20\.30\.40([^0-9]|){0}/
  condition:
    any of them
}

技术背景

在标准正则表达式实现中，{0}量词确实是一个合法但极少使用的语法结构。它表示"前一个元素出现零次"，从逻辑上讲，这与完全不写该元素是等价的。例如：

• /a{0}b/ 完全等同于 /b/
• /(foo){0}bar/ 完全等同于 /bar/

YARA底层使用的正则表达式引擎在lexer阶段(位于re_lexer.l文件)明确检查了这种情况，当检测到上下界都为0时(即{0}或{0,0})，会主动拒绝这种模式。

设计考量

YARA做出这种限制主要基于以下技术考虑：

1. 语义冗余：{0}量词不会改变正则表达式的匹配行为，反而可能引起开发者的误解
2. 性能优化：避免解析和处理无实际作用的语法结构
3. 安全边界：限制可能被滥用的正则表达式模式

实际应用建议

虽然从理论上讲支持{0}量词可以提高与其他正则引擎的兼容性，但在实际威胁检测场景中，开发者应该考虑更明确的模式表达方式：

1. 对于IP地址匹配，建议使用边界断言或更精确的模式：

rule ip {
  strings:
    $ip = /\b10\.20\.30\.40\b/
  condition:
    any of them
}

2. 如果需要处理可选前缀/后缀，使用?量词(表示0或1次)更为清晰：

rule example {
  strings:
    $s = /(prefix)?main(content)?/
}

总结