[linux] Re: Strip ansi

Hugo van der Kooij hvdkooij op vanderkooij.org
Di Okt 25 08:33:36 CEST 2005 

On Sun, 23 Oct 2005, Kees Theunissen wrote:

> On Sun, 23 Oct 2005, Hugo van der Kooij wrote:
>
> >Voordat Panda hun uitvoer weer veranderde werkt het volgende blok
> >filtering redelijk goed:
> >
> >   $line =~ s/\x1b\[m//g;
> >   $line =~ s/\x1b\[.m//g;
> >   $line =~ s/\x1b\[..m//g;
> >   $line =~ s/\x1b\[.;.m//g;
> >   $line =~ s/\cO//g;
> >   $line =~ s/\cM$//;
> >   $line =~ s/\cL//g;
> >   $line =~ s/....\cH\cH\cH\cH//g;
> >   $line =~ s/...\cH\cH\cH//g;
> >   $line =~ s/..\cH\cH//g;
> >   $line =~ s/.\cH//g;
> >
> >Een dirty stuk code maar het werkte op dat moment.
>
> Het volgende werkt redelijk goed op jouw panda.lst file:
>
> sed -e 's/[[:cntrl:]]\[[[:digit:]]*.//g'  \
>     -e 's/[[:cntrl:]](B[[:digit:]]\+.//g' \
>     -e 's/[[:cntrl:]](B//g'   < panda.lst > panda.cleaned
>
> Ook dirty en niet perfect, maar het ruimt behoorlijk op.
> Dat panda maakt er wel een zooitje van zeg!

Ehh. Dat moet dan alleen omgeschreven worden naar Perl. En dan moet (
vervangen worden door \( zodat het letterlijk wordt genomen.

En dan wordt er nu iets gewist wat wel relevant is. Neem bij voorbeeld de
regel:

/home/virus/collection/HTML.Phishing.Auction-6124HTrojanDropper.WinREG.Bomgen.b24HI-Worm.Lohack.c

De H geeft de plaats in waarin twee maal een fiks stuk wordt
teruggesprongen.  In real life hadden dat 3 regels moeten zijn:
/home/virus/collection/HTML.Phishing.Auction-6124
/home/virus/collection/TrojanDropper.WinREG.Bomgen.
/home/virus/collection/I-Worm.Lohack.c

De clue zit in de ANSI sequence ^[[14;24H waarbij terug gesprongen wordt
naar positie 24. De eerste twee regels geven filenamen aan waar de Panda
geen virus kon vinden.

Die truk moet dus voor de rest opgevangen worden. Op dit moment start ik
de scanner na XTERM=vt100 zodat daarmee de stuur codes ook zijn
vastgelegd. Helaas werk TERM=dumb ook niet perfect. Maar wellicht wel een
nader onderzoek waard naar alternatieve TERM definities die een output
genereren die beter te strippen is.

Hugo.

-- 
	I hate duplicates. Just reply to the relevant mailinglist.
	hvdkooij op vanderkooij.org		http://hvdkooij.xs4all.nl/
		Don't meddle in the affairs of magicians,
		for they are subtle and quick to anger.

More information about the Linux mailing list