看来你就是要在一段内存空间中找一些连续的数据,这种问题最好不要提“字符”、“char”等字样,容易让人理解错。 这很简单,例如下面函数,Source、SourceLength表示要查找的内存地址和长度,Find、FindLength表示查找的目标数据地址和长度,返回值表示目标在Source中的位置,如果没有找到则返回-1。调用时把参数强制转换为PBYTE类型。 int FindData(PBYTE Source, int SourceLength, PBYTE Find, int FindLength) { int i, j; for (i=0; i<=SourceLength-FindLength; i++) { for (j=0; j<FindLength; j++) { if (Source[i+j] != Find[j]) break; } if (j == FindLength) return i; } return -1; }
KMP算法(时间复杂度O(m+n))如下(转载):我们这里说的KMP不是拿来放电影的(虽然我很喜欢这个软件),而是一种算法。KMP算法是拿来处理字符串匹配的。换句话说,给你两个字符串,你需要回答,B串是否是A串的子串(A串是否包含B串)。比如,字符串A="I'm matrix67",字符串B="matrix",我们就说B是A的子串。你可以委婉地问你的MM:“假如你要向你喜欢的人表白的话,我的名字是你的告白语中的子串吗?” 解决这类问题,通常我们的方法是枚举从A串的什么位置起开始与B匹配,然后验证是否匹配。假如A串长度为n,B串长度为m,那么这种方法的复杂度是O (mn)的。虽然很多时候复杂度达不到mn(验证时只看头一两个字母就发现不匹配了),但我们有许多“最坏情况”,比如,A= "aaaaaaaaaaaaaaaaaaaaaaaaaab",B="aaaaaaaab"。我们将介绍的是一种最坏情况下O(n)的算法(这里假设 m<=n),即传说中的KMP算法。 之所以叫做KMP,是因为这个算法是由Knuth、Morris、Pratt三个提出来的,取了这三个人的名字的头一个字母。这时,或许你突然明白了AVL 树为什么叫AVL,或者Bellman-Ford为什么中间是一杠不是一个点。有时一个东西有七八个人研究过,那怎么命名呢?通常这个东西干脆就不用人名字命名了,免得发生争议,比如“3x+1问题”。扯远了。 个人认为KMP是最没有必要讲的东西,因为这个东西网上能找到很多资料。但网上的讲法基本上都涉及到“移动(shift)”、“Next函数”等概念,这非常容易产生误解(至少一年半前我看这些资料学习KMP时就没搞清楚)。在这里,我换一种方法来解释KMP算法。 假如,A="abababaababacb",B="ababacb",我们来看看KMP是怎么工作的。我们用两个指针i和j分别表示,A[i-j+ 1..i]与B[1..j]完全相等。也就是说,i是不断增加的,随着i的增加j相应地变化,且j满足以A[i]结尾的长度为j的字符串正好匹配B串的前 j个字符(j当然越大越好),现在需要检验A[i+1]和B[j+1]的关系。当A[i+1]=B[j+1]时,i和j各加一;什么时候j=m了,我们就说B是A的子串(B串已经整完了),并且可以根据这时的i值算出匹配的位置。当A[i+1]<>B[j+1],KMP的策略是调整j的位置(减小j值)使得A[i-j+1..i]与B[1..j]保持匹配且新的B[j+1]恰好与A[i+1]匹配(从而使得i和j能继续增加)。我们看一看当 i=j=5时的情况。 i = 1 2 3 4 5 6 7 8 9 …… A = a b a b a b a a b a b … B = a b a b a c b j = 1 2 3 4 5 6 7 此时,A[6]<>B[6]。这表明,此时j不能等于5了,我们要把j改成比它小的值j'。j'可能是多少呢?仔细想一下,我们发现,j'必须要使得B[1..j]中的头j'个字母和末j'个字母完全相等(这样j变成了j'后才能继续保持i和j的性质)。这个j'当然要越大越好。在这里,B [1..5]="ababa",头3个字母和末3个字母都是"aba"。而当新的j为3时,A[6]恰好和B[4]相等。于是,i变成了6,而j则变成了 4: i = 1 2 3 4 5 6 7 8 9 …… A = a b a b a b a a b a b … B = a b a b a c b j = 1 2 3 4 5 6 7 从上面的这个例子,我们可以看到,新的j可以取多少与i无关,只与B串有关。我们完全可以预处理出这样一个数组P[j],表示当匹配到B数组的第j个字母而第j+1个字母不能匹配了时,新的j最大是多少。P[j]应该是所有满足B[1..P[j]]=B[j-P[j]+1..j]的最大值。 再后来,A[7]=B[5],i和j又各增加1。这时,又出现了A[i+1]<>B[j+1]的情况: i = 1 2 3 4 5 6 7 8 9 …… A = a b a b a b a a b a b … B = a b a b a c b j = 1 2 3 4 5 6 7 由于P[5]=3,因此新的j=3: i = 1 2 3 4 5 6 7 8 9 …… A = a b a b a b a a b a b … B = a b a b a c b j = 1 2 3 4 5 6 7 这时,新的j=3仍然不能满足A[i+1]=B[j+1],此时我们再次减小j值,将j再次更新为P[3]: i = 1 2 3 4 5 6 7 8 9 …… A = a b a b a b a a b a b … B = a b a b a c b j = 1 2 3 4 5 6 7 现在,i还是7,j已经变成1了。而此时A[8]居然仍然不等于B[j+1]。这样,j必须减小到P[1],即0: i = 1 2 3 4 5 6 7 8 9 …… A = a b a b a b a a b a b … B = a b a b a c b j = 0 1 2 3 4 5 6 7 终于,A[8]=B[1],i变为8,j为1。事实上,有可能j到了0仍然不能满足A[i+1]=B[j+1](比如A[8]="d"时)。因此,准确的说法是,当j=0了时,我们增加i值但忽略j直到出现A[i]=B[1]为止。 这个过程的代码很短(真的很短),我们在这里给出:程序代码j:=0;for i:=1 to n dobegin while (j>0) and (B[j+1]<>A[i]) do j:=P[j]; if B[j+1]=A[i] then j:=j+1; if j=m then begin writeln('Pattern occurs with shift ',i-m); j:=P[j]; end;end; 最后的j:=P[j]是为了让程序继续做下去,因为我们有可能找到多处匹配。 这个程序或许比想像中的要简单,因为对于i值的不断增加,代码用的是for循环。因此,这个代码可以这样形象地理解:扫描字符串A,并更新可以匹配到B的什么位置。 现在,我们还遗留了两个重要的问题:一,为什么这个程序是线性的;二,如何快速预处理P数组。 为什么这个程序是O(n)的?其实,主要的争议在于,while循环使得执行次数出现了不确定因素。我们将用到时间复杂度的摊还分析中的主要策略,简单地说就是通过观察某一个变量或函数值的变化来对零散的、杂乱的、不规则的执行次数进行累计。KMP的时间复杂度分析可谓摊还分析的典型。我们从上述程序的j 值入手。每一次执行while循环都会使j减小(但不能减成负的),而另外的改变j值的地方只有第五行。每次执行了这一行,j都只能加1;因此,整个过程中j最多加了n个1。于是,j最多只有n次减小的机会(j值减小的次数当然不能超过n,因为j永远是非负整数)。这告诉我们,while循环总共最多执行了n次。按照摊还分析的说法,平摊到每次for循环中后,一次for循环的复杂度为O(1)。整个过程显然是O(n)的。这样的分析对于后面P数组预处理的过程同样有效,同样可以得到预处理过程的复杂度为O(m)。 预处理不需要按照P的定义写成O(m^2)甚至O(m^3)的。我们可以通过P[1],P[2],...,P[j-1]的值来获得P[j]的值。对于刚才的B="ababacb",假如我们已经求出了P[1],P[2],P[3]和P[4],看看我们应该怎么求出P[5]和P[6]。P[4]=2,那么P [5]显然等于P[4]+1,因为由P[4]可以知道,B[1,2]已经和B[3,4]相等了,现在又有B[3]=B[5],所以P[5]可以由P[4] 后面加一个字符得到。P[6]也等于P[5]+1吗?显然不是,因为B[ P[5]+1 ]<>B[6]。那么,我们要考虑“退一步”了。我们考虑P[6]是否有可能由P[5]的情况所包含的子串得到,即是否P[6]=P[ P[5] ]+1。这里想不通的话可以仔细看一下: 1 2 3 4 5 6 7 B = a b a b a c b P = 0 0 1 2 3 ? P[5]=3是因为B[1..3]和B[3..5]都是"aba";而P[3]=1则告诉我们,B[1]和B[5]都是"a"。既然P[6]不能由P [5]得到,或许可以由P[3]得到(如果B[2]恰好和B[6]相等的话,P[6]就等于P[3]+1了)。显然,P[6]也不能通过P[3]得到,因为B[2]<>B[6]。事实上,这样一直推到P[1]也不行,最后,我们得到,P[6]=0。 怎么这个预处理过程跟前面的KMP主程序这么像呢?其实,KMP的预处理本身就是一个B串“自我匹配”的过程。它的代码和上面的代码神似:程序代码P[1]:=0;j:=0;for i:=2 to m dobegin while (j>0) and (B[j+1]<>B[i]) do j:=P[j]; if B[j+1]=B[i] then j:=j+1; P[i]:=j;end; 最后补充一点:由于KMP算法只预处理B串,因此这种算法很适合这样的问题:给定一个B串和一群不同的A串,问B是哪些A串的子串。
for ( int i = 0; i < len; i++ )
{
if ( (buf[i] >= '0' && buf[i] <= '9')
|| (buf[i] >= 'a' && buf[i] <= 'f')
|| (buf[i] >= 'A' && buf[i] <= 'F') )
{
// 是16进制字符,是否连续可以通过计数比较
}
}
int FindHexString(const char*pSrc,int nSrcLen,char*pDst,int nDstLen)
{
//在pSrc(长度为nSrcLen)中查找字符串pDst(长度为nDstLen,可以含通配符?)
//KMP算法
int i,j,k,nStart,posFind ;
int n=len ;
int*next=new int[n];
//得到查找字符串的next数组
n--;
j=0 ;
k=-1 ;
next[0]=-1 ;
while(j<n)
{
if(k==-1||pFind[k]=='?'||pFind[j]==pFind[k])
{
++j ;
++k ;
if(pFind[j]!=pFind[k])next[j]=k ;
else next[j]=next[k];
}
else k=next[k];
}
//next数组生成结束
n++;
nStart=0 ;
while(nStart+len<=nSrcLen)
{
j=0 ;
while(nStart<nSrcLen&&j<n)
{
if(j==-1||pFind[j]=='?'||pSrc[nStart]==pFind[j])
{
++nStart ;
++j ;
}
else j=next[j];
}
if(j>=n)posFind=nStart-n ;
else posFind=-1 ;
if(posFind!=-1)
{//找到十六进制串
return posFind;
}
}
return -1;//未找到
}
char *pSrc="11111111111111111\x3D\x4B\xFD\x0A\x00\x74111111111111111";
FindHexString((char*)pSrc,38,"\x3D\x4B\xFD\x0A\x00\x74",6);
char* pEnd = buf + len;for (; pCh < pEnd; pCh++)
{ if ((*pCh >= '0' && *pCh <= '9')
|| (*pCh >= 'a' && *pCh <= 'f')
|| (*pCh >= 'A' && *pCh <= 'F'))
{
// 是16进制字符,是否连续可以通过计数比较
}
}
要是不知道要查找的十六进制串的长度,请问该什么时候才会查找结束?
既然你已经知道十六进制串了,直接sizeof(pHex)/sizeof(type)不就可以得到十六进制串的长度了
LRESULT CFlvSnifferDlg::OnUpdateList(WPARAM wParam, LPARAM lParam)
{
// Get ip header
ip_header *ip = (struct ip_header *)(wParam+14);
ipstructs ipstate;
// getdata
char *data = (char*)wParam;
*data就是这个十六进制数!
这很简单,例如下面函数,Source、SourceLength表示要查找的内存地址和长度,Find、FindLength表示查找的目标数据地址和长度,返回值表示目标在Source中的位置,如果没有找到则返回-1。调用时把参数强制转换为PBYTE类型。
int FindData(PBYTE Source, int SourceLength, PBYTE Find, int FindLength)
{
int i, j;
for (i=0; i<=SourceLength-FindLength; i++)
{
for (j=0; j<FindLength; j++)
{
if (Source[i+j] != Find[j]) break;
}
if (j == FindLength) return i;
}
return -1;
}
的时候应该有把一个指针赋给wParam吧,那在调用之前计算那个指针所指向的数据的长度,
抓包下来的数据是肯定可以计算长度的,计算完长度之后再把地址和长度传进去
typedef struct _DATA{
char *pHexString;
int nLen;
}DATA; 将DATA的地址赋给wParam
20楼的算法是最多人使用的算法,如果源数据流长度是m,要搜索的子串长度是n,这个算法的时间复杂度是O(m*n)更好好的算法有
KMP算法、BM算法、AC-BM算法等等
解决这类问题,通常我们的方法是枚举从A串的什么位置起开始与B匹配,然后验证是否匹配。假如A串长度为n,B串长度为m,那么这种方法的复杂度是O (mn)的。虽然很多时候复杂度达不到mn(验证时只看头一两个字母就发现不匹配了),但我们有许多“最坏情况”,比如,A= "aaaaaaaaaaaaaaaaaaaaaaaaaab",B="aaaaaaaab"。我们将介绍的是一种最坏情况下O(n)的算法(这里假设 m<=n),即传说中的KMP算法。
之所以叫做KMP,是因为这个算法是由Knuth、Morris、Pratt三个提出来的,取了这三个人的名字的头一个字母。这时,或许你突然明白了AVL 树为什么叫AVL,或者Bellman-Ford为什么中间是一杠不是一个点。有时一个东西有七八个人研究过,那怎么命名呢?通常这个东西干脆就不用人名字命名了,免得发生争议,比如“3x+1问题”。扯远了。
个人认为KMP是最没有必要讲的东西,因为这个东西网上能找到很多资料。但网上的讲法基本上都涉及到“移动(shift)”、“Next函数”等概念,这非常容易产生误解(至少一年半前我看这些资料学习KMP时就没搞清楚)。在这里,我换一种方法来解释KMP算法。 假如,A="abababaababacb",B="ababacb",我们来看看KMP是怎么工作的。我们用两个指针i和j分别表示,A[i-j+ 1..i]与B[1..j]完全相等。也就是说,i是不断增加的,随着i的增加j相应地变化,且j满足以A[i]结尾的长度为j的字符串正好匹配B串的前 j个字符(j当然越大越好),现在需要检验A[i+1]和B[j+1]的关系。当A[i+1]=B[j+1]时,i和j各加一;什么时候j=m了,我们就说B是A的子串(B串已经整完了),并且可以根据这时的i值算出匹配的位置。当A[i+1]<>B[j+1],KMP的策略是调整j的位置(减小j值)使得A[i-j+1..i]与B[1..j]保持匹配且新的B[j+1]恰好与A[i+1]匹配(从而使得i和j能继续增加)。我们看一看当 i=j=5时的情况。 i = 1 2 3 4 5 6 7 8 9 ……
A = a b a b a b a a b a b …
B = a b a b a c b
j = 1 2 3 4 5 6 7 此时,A[6]<>B[6]。这表明,此时j不能等于5了,我们要把j改成比它小的值j'。j'可能是多少呢?仔细想一下,我们发现,j'必须要使得B[1..j]中的头j'个字母和末j'个字母完全相等(这样j变成了j'后才能继续保持i和j的性质)。这个j'当然要越大越好。在这里,B [1..5]="ababa",头3个字母和末3个字母都是"aba"。而当新的j为3时,A[6]恰好和B[4]相等。于是,i变成了6,而j则变成了 4: i = 1 2 3 4 5 6 7 8 9 ……
A = a b a b a b a a b a b …
B = a b a b a c b
j = 1 2 3 4 5 6 7 从上面的这个例子,我们可以看到,新的j可以取多少与i无关,只与B串有关。我们完全可以预处理出这样一个数组P[j],表示当匹配到B数组的第j个字母而第j+1个字母不能匹配了时,新的j最大是多少。P[j]应该是所有满足B[1..P[j]]=B[j-P[j]+1..j]的最大值。
再后来,A[7]=B[5],i和j又各增加1。这时,又出现了A[i+1]<>B[j+1]的情况: i = 1 2 3 4 5 6 7 8 9 ……
A = a b a b a b a a b a b …
B = a b a b a c b
j = 1 2 3 4 5 6 7 由于P[5]=3,因此新的j=3: i = 1 2 3 4 5 6 7 8 9 ……
A = a b a b a b a a b a b …
B = a b a b a c b
j = 1 2 3 4 5 6 7 这时,新的j=3仍然不能满足A[i+1]=B[j+1],此时我们再次减小j值,将j再次更新为P[3]: i = 1 2 3 4 5 6 7 8 9 ……
A = a b a b a b a a b a b …
B = a b a b a c b
j = 1 2 3 4 5 6 7 现在,i还是7,j已经变成1了。而此时A[8]居然仍然不等于B[j+1]。这样,j必须减小到P[1],即0: i = 1 2 3 4 5 6 7 8 9 ……
A = a b a b a b a a b a b …
B = a b a b a c b
j = 0 1 2 3 4 5 6 7 终于,A[8]=B[1],i变为8,j为1。事实上,有可能j到了0仍然不能满足A[i+1]=B[j+1](比如A[8]="d"时)。因此,准确的说法是,当j=0了时,我们增加i值但忽略j直到出现A[i]=B[1]为止。
这个过程的代码很短(真的很短),我们在这里给出:程序代码j:=0;for i:=1 to n dobegin while (j>0) and (B[j+1]<>A[i]) do j:=P[j]; if B[j+1]=A[i] then j:=j+1; if j=m then begin writeln('Pattern occurs with shift ',i-m); j:=P[j]; end;end;
最后的j:=P[j]是为了让程序继续做下去,因为我们有可能找到多处匹配。
这个程序或许比想像中的要简单,因为对于i值的不断增加,代码用的是for循环。因此,这个代码可以这样形象地理解:扫描字符串A,并更新可以匹配到B的什么位置。 现在,我们还遗留了两个重要的问题:一,为什么这个程序是线性的;二,如何快速预处理P数组。
为什么这个程序是O(n)的?其实,主要的争议在于,while循环使得执行次数出现了不确定因素。我们将用到时间复杂度的摊还分析中的主要策略,简单地说就是通过观察某一个变量或函数值的变化来对零散的、杂乱的、不规则的执行次数进行累计。KMP的时间复杂度分析可谓摊还分析的典型。我们从上述程序的j 值入手。每一次执行while循环都会使j减小(但不能减成负的),而另外的改变j值的地方只有第五行。每次执行了这一行,j都只能加1;因此,整个过程中j最多加了n个1。于是,j最多只有n次减小的机会(j值减小的次数当然不能超过n,因为j永远是非负整数)。这告诉我们,while循环总共最多执行了n次。按照摊还分析的说法,平摊到每次for循环中后,一次for循环的复杂度为O(1)。整个过程显然是O(n)的。这样的分析对于后面P数组预处理的过程同样有效,同样可以得到预处理过程的复杂度为O(m)。
预处理不需要按照P的定义写成O(m^2)甚至O(m^3)的。我们可以通过P[1],P[2],...,P[j-1]的值来获得P[j]的值。对于刚才的B="ababacb",假如我们已经求出了P[1],P[2],P[3]和P[4],看看我们应该怎么求出P[5]和P[6]。P[4]=2,那么P [5]显然等于P[4]+1,因为由P[4]可以知道,B[1,2]已经和B[3,4]相等了,现在又有B[3]=B[5],所以P[5]可以由P[4] 后面加一个字符得到。P[6]也等于P[5]+1吗?显然不是,因为B[ P[5]+1 ]<>B[6]。那么,我们要考虑“退一步”了。我们考虑P[6]是否有可能由P[5]的情况所包含的子串得到,即是否P[6]=P[ P[5] ]+1。这里想不通的话可以仔细看一下: 1 2 3 4 5 6 7
B = a b a b a c b
P = 0 0 1 2 3 ? P[5]=3是因为B[1..3]和B[3..5]都是"aba";而P[3]=1则告诉我们,B[1]和B[5]都是"a"。既然P[6]不能由P [5]得到,或许可以由P[3]得到(如果B[2]恰好和B[6]相等的话,P[6]就等于P[3]+1了)。显然,P[6]也不能通过P[3]得到,因为B[2]<>B[6]。事实上,这样一直推到P[1]也不行,最后,我们得到,P[6]=0。
怎么这个预处理过程跟前面的KMP主程序这么像呢?其实,KMP的预处理本身就是一个B串“自我匹配”的过程。它的代码和上面的代码神似:程序代码P[1]:=0;j:=0;for i:=2 to m dobegin while (j>0) and (B[j+1]<>B[i]) do j:=P[j]; if B[j+1]=B[i] then j:=j+1; P[i]:=j;end;
最后补充一点:由于KMP算法只预处理B串,因此这种算法很适合这样的问题:给定一个B串和一群不同的A串,问B是哪些A串的子串。
类库KYLib 2.0 for VC6: http://download.csdn.net/source/1031569
类库KYLib 2.0 for VS2005: http://download.csdn.net/source/1032667 在 "KYString.h" 中有很多查找的函数。// 得到目标串的 KMP 的回溯表
// 注: Length(ANext) 必须大于等于 ADestLen
bool GetKMPNext(const char* ADest, int ADestLen, int* ANext,
bool ACaseSensitive = true);// _FindNext, _FindNextEx 与 FindNext, FindNextEx 相同, 只是不检查参数的合法性
// 注: AText 和 ADest 非空, ADestLen > 0, ANextPos > 0, AFrom > 0
int _FindNext(const char* AText, int ATextLen,
const char* ADest, int ADestLen,
int* ANext, int ANextPos = 1,
int AFrom = 1, bool ACaseSensitive = true);
int _FindNextEx(const char* AText, int ATextLen,
const char* ADest, int ADestLen,
int* ANext, int& ANextPos,
int AFrom = 1, bool ACaseSensitive = true);// 根据 KMP 回溯表查找下一个匹配项
// 注: ANext 回溯表的 ACaseSensitive 必须与当前的 ACaseSensitive 参数相同,
// FindNextEx 为了能够返回 ANextPos 比 FindNext 要更多比较, 所以效率要
// 相对差一些
int FindNext(const char* AText, int ATextLen,
const char* ADest, int ADestLen,
int* ANext, int ANextPos = 1,
int AFrom = 1, int ATo = -1,
bool ACaseSensitive = true);
int FindNextEx(const char* AText, int ATextLen,
const char* ADest, int ADestLen,
int* ANext, int& ANextPos,
int AFrom = 1, int ATo = -1,
bool ACaseSensitive = true);// 得到目标串的位置(ADest 在 AText 中的第一个位置)
int StrPos(const char* ADest, int ADestLen,
const char* AText, int ATextLen,
bool ACaseSensitive = true, int AFrom = 1);// 字符串比较
int StrCompare(const char* AStr1, const char* AStr2, bool ACaseSensitive = true);
int StrCompare(const char* AStr1, int ALen1,
const char* AStr2, int ALen2,
bool ACaseSensitive = true);// 判断字符串内容是否相同
bool IsSameStr(const char* AStr1, const char* AStr2, bool ACaseSensitive = true);
bool IsSameStr(const char* AStr1, int ALen1,
const char* AStr2, int ALen2,
bool ACaseSensitive = true);
inline bool IsSameStr(const char* AStr1, const char* AStr2,
int ALen, bool ACaseSensitive = true)
{ return IsSameStr(AStr1, ALen, AStr2, ALen, ACaseSensitive); }// 扫描出现第一个字符的指针
char* StrScan(const char* AStr, char AChar);// 扫描出现最后一个字符的指针
char* StrRScan(const char* AStr, char AChar);// 转换成大写字符串
char* StrUpper(char* AStr);// 转换成小写字符串
char* StrLower(char* AStr);