Для поиска событий, паттернов и значений параметров событий в разделе Процессор событий вы можете использовать регулярные выражения. Kaspersky MLAD поддерживает использование следующих специальных символов в регулярных выражений:
^ – Соответствует началу значения параметра. Например, ^А означает, что поиск в параметре события будет осуществляться по значениям, начинающимся с символа А.$ – Соответствует концу значения параметра. Например, А$ означает, что поиск в параметре события будет осуществляться по значениям, заканчивающимся на символ А.. – Соответствует одному любому символу. | – Разделяет допустимые варианты символов или совокупности символов в значении параметра. Например, к(о|и)т соответствует как значению параметра кот, так и кит.\ – Символ, указывающий на то, что следующий символ является обычным символом в значении параметра, а не специальным. Вы можете использовать символ \ для поиска специальных символов в значении параметра. Например, \. описывает точку в значении параметра, а \\ описывает обратную косую черту.[] – Соответствует любому символу из набора допустимых символов. Например, [абв] соответствует появлению одного из трех указанных символов.Для поиска по диапазону значений вы можете использовать символ -. Если требуется найти символы, которые не входят в указанный диапазон, вы можете использовать символ ^ внутри квадратных скобок. Например, [^0-9] задает возможность появления любого символа, кроме цифр.
Для указания нужного количества повторений выражения в значениях параметров событий вы можете использовать следующие специальные символы:
? – Символ, определяющий, что предшествующее выражение может встречаться в значении параметра ноль или один раз.* – Символ, определяющий, что предшествующее выражение может встречаться в значении параметра ноль или более раз.+ – Символ, определяющий, что предшествующее выражение может встречаться в значении параметра один или более раз.{} – Символьный класс, позволяющий указать нужное количество повторений предшествующего выражения. Вы можете указать количество повторений одним из следующих способов:{n} – Выражение, предшествующее фигурным скобкам, встречает в значении параметра ровно n раз.{m,n} – Выражение, предшествующее фигурным скобкам, встречается в значении параметра от m до n раз включительно.{m,} – Выражение. предшествующее фигурным скобкам, встречается в значении параметра не менее m раз.{,n} – Выражение, предшествующее фигурным скобкам, встречается в значении параметра не более n раз.Вы также можете использовать скобки () для объединения элементов выражения в группу. Например, (к[ои]т){2} найдет вхождения коткот, киткит, киткот и коткит.