summaryrefslogtreecommitdiff
path: root/plugins
diff options
context:
space:
mode:
authorCyrille Bagard <nocbos@gmail.com>2009-07-19 22:28:13 (GMT)
committerCyrille Bagard <nocbos@gmail.com>2009-07-19 22:28:13 (GMT)
commit59bda76b1a76d796a42ee46b9da7041dbef57253 (patch)
tree36f7d6eaa7847016b99431b1b489c6a1fdbaf33b /plugins
parent3a9fe39c6a8923f45e7c96d80b0bfe52b8686ff9 (diff)
Encapsulated all recognized variables in the stack using a new plugin (need to be continued).
git-svn-id: svn://svn.gna.org/svn/chrysalide/trunk@99 abbe820e-26c8-41b2-8c08-b7b2b41f8b0a
Diffstat (limited to 'plugins')
-rw-r--r--plugins/Makefile.am2
-rw-r--r--plugins/stackvars/Makefile.am15
-rw-r--r--plugins/stackvars/operand.c158
-rw-r--r--plugins/stackvars/operand.h57
-rw-r--r--plugins/stackvars/stackvars.c260
-rw-r--r--plugins/stackvars/stackvars.h49
6 files changed, 541 insertions, 0 deletions
diff --git a/plugins/Makefile.am b/plugins/Makefile.am
new file mode 100644
index 0000000..f2c6152
--- /dev/null
+++ b/plugins/Makefile.am
@@ -0,0 +1,2 @@
+
+SUBDIRS = stackvars
diff --git a/plugins/stackvars/Makefile.am b/plugins/stackvars/Makefile.am
new file mode 100644
index 0000000..a29c58a
--- /dev/null
+++ b/plugins/stackvars/Makefile.am
@@ -0,0 +1,15 @@
+
+lib_LTLIBRARIES = libstackvars.la
+
+libstackvars_la_SOURCES = \
+ operand.h operand.c \
+ stackvars.h stackvars.c
+
+libstackvars_la_CFLAGS = $(AM_CFLAGS)
+
+
+INCLUDES = $(LIBGTK_CFLAGS) $(LIBXML_CFLAGS) -I../../src
+
+AM_CPPFLAGS =
+
+AM_CFLAGS = $(DEBUG_CFLAGS) $(WARNING_FLAGS) $(COMPLIANCE_FLAGS)
diff --git a/plugins/stackvars/operand.c b/plugins/stackvars/operand.c
new file mode 100644
index 0000000..321312a
--- /dev/null
+++ b/plugins/stackvars/operand.c
@@ -0,0 +1,158 @@
+
+/* OpenIDA - Outil d'analyse de fichiers binaires
+ * operand.c - opérandes de substitution pour variables
+ *
+ * Copyright (C) 2009 Cyrille Bagard
+ *
+ * This file is part of OpenIDA.
+ *
+ * OpenIDA is free software; you can redistribute it and/or modify
+ * it under the terms of the GNU General Public License as published by
+ * the Free Software Foundation; either version 3 of the License, or
+ * (at your option) any later version.
+ *
+ * OpenIDA is distributed in the hope that it will be useful,
+ * but WITHOUT ANY WARRANTY; without even the implied warranty of
+ * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
+ * GNU General Public License for more details.
+ *
+ * You should have received a copy of the GNU General Public License
+ * along with Foobar. If not, see <http://www.gnu.org/licenses/>.
+ */
+
+
+#include "operand.h"
+
+
+#include <malloc.h>
+#include <stdio.h>
+
+
+#include <arch/operand-int.h>
+
+
+
+/* Définition d'un opérande de substitution pour variable de pile (instance) */
+struct _GStackVarOperand
+{
+ GArchOperand parent; /* Instance parente */
+
+ const GArchOperand *child; /* Opérand d'origine substitué */
+
+};
+
+
+/* Définition d'un opérande de substitution pour variable de pile (classe) */
+struct _GStackVarOperandClass
+{
+ GArchOperandClass parent; /* Classe parente */
+
+};
+
+
+/* Initialise la classe des opérandes de substitution. */
+static void g_stack_var_operand_class_init(GStackVarOperandClass *);
+
+/* Initialise l'instande d'un opérandes de substitution. */
+static void g_stack_var_operand_init(GStackVarOperand *);
+
+/* Traduit un opérande en version humainement lisible. */
+static char *g_stack_var_operand_get_text(const GStackVarOperand *, const exe_format *, AsmSyntax);
+
+
+/* Indique le type défini pour un opérande de substitution pour variable de pile. */
+G_DEFINE_TYPE(GStackVarOperand, g_stack_var_operand, G_TYPE_ARCH_OPERAND);
+
+
+
+/******************************************************************************
+* *
+* Paramètres : klass = classe à initialiser. *
+* *
+* Description : Initialise la classe des opérandes de substitution. *
+* *
+* Retour : - *
+* *
+* Remarques : - *
+* *
+******************************************************************************/
+
+static void g_stack_var_operand_class_init(GStackVarOperandClass *klass)
+{
+
+}
+
+
+/******************************************************************************
+* *
+* Paramètres : operand = instance à initialiser. *
+* *
+* Description : Initialise l'instande d'un opérandes de substitution. *
+* *
+* Retour : - *
+* *
+* Remarques : - *
+* *
+******************************************************************************/
+
+static void g_stack_var_operand_init(GStackVarOperand *operand)
+{
+ GArchOperand *parent; /* Instance parente */
+
+ parent = G_ARCH_OPERAND(operand);
+
+ parent->get_text = (get_operand_text_fc)g_stack_var_operand_get_text;
+
+}
+
+
+/******************************************************************************
+* *
+* Paramètres : child = opérande d'origine à substituer. *
+* *
+* Description : Crée un opérande de substitution pour variable de pile. *
+* *
+* Retour : Instruction mise en place. *
+* *
+* Remarques : - *
+* *
+******************************************************************************/
+
+GArchOperand *g_stack_var_operand_new(const GArchOperand *child)
+{
+ GStackVarOperand *result; /* Opérande à retourner */
+
+ result = g_object_new(G_TYPE_STACK_VAR_OPERAND, NULL);
+
+ result->child = child;
+
+ return result;
+
+}
+
+
+/******************************************************************************
+* *
+* Paramètres : operand = opérande à traiter. *
+* format = format du binaire manipulé. *
+* syntax = type de représentation demandée. *
+* *
+* Description : Traduit un opérande en version humainement lisible. *
+* *
+* Retour : Chaîne de caractères à libérer de la mémoire. *
+* *
+* Remarques : - *
+* *
+******************************************************************************/
+
+static char *g_stack_var_operand_get_text(const GStackVarOperand *operand, const exe_format *format, AsmSyntax syntax)
+{
+ char *result; /* Chaîne à retourner */
+
+ result = (char *)calloc(19, sizeof(char));
+
+ snprintf(result, 19, "[<b>varX</b>]");
+
+ return result;
+
+}
diff --git a/plugins/stackvars/operand.h b/plugins/stackvars/operand.h
new file mode 100644
index 0000000..d0f8120
--- /dev/null
+++ b/plugins/stackvars/operand.h
@@ -0,0 +1,57 @@
+
+/* OpenIDA - Outil d'analyse de fichiers binaires
+ * operand.h - prototypes pour les opérandes de substitution pour variables
+ *
+ * Copyright (C) 2009 Cyrille Bagard
+ *
+ * This file is part of OpenIDA.
+ *
+ * OpenIDA is free software; you can redistribute it and/or modify
+ * it under the terms of the GNU General Public License as published by
+ * the Free Software Foundation; either version 3 of the License, or
+ * (at your option) any later version.
+ *
+ * OpenIDA is distributed in the hope that it will be useful,
+ * but WITHOUT ANY WARRANTY; without even the implied warranty of
+ * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
+ * GNU General Public License for more details.
+ *
+ * You should have received a copy of the GNU General Public License
+ * along with Foobar. If not, see <http://www.gnu.org/licenses/>.
+ */
+
+
+#ifndef _PLUGINS_STACKVARS_OPERAND_H
+#define _PLUGINS_STACKVARS_OPERAND_H
+
+
+#include <glib-object.h>
+#include <stdbool.h>
+
+
+#include <arch/operand.h>
+
+
+
+#define G_TYPE_STACK_VAR_OPERAND g_stack_var_operand_get_type()
+#define G_STACK_VAR_OPERAND(obj) (G_TYPE_CHECK_INSTANCE_CAST((obj), g_stack_var_operand_get_type(), GStackVarOperand))
+#define G_IS_STACK_VAR_OPERAND(obj) (G_TYPE_CHECK_INSTANCE_TYPE((obj), g_stack_var_operand_get_type()))
+#define G_STACK_VAR_OPERAND_GET_IFACE(inst) (G_TYPE_INSTANCE_GET_INTERFACE((inst), g_stack_var_operand_get_type(), GStackVarOperandIface))
+
+
+/* Définition d'un opérande de substitution pour variable de pile (instance) */
+typedef struct _GStackVarOperand GStackVarOperand;
+
+/* Définition d'un opérande de substitution pour variable de pile (classe) */
+typedef struct _GStackVarOperandClass GStackVarOperandClass;
+
+
+/* Indique le type défini pour un opérande de substitution pour variable de pile. */
+GType g_stack_var_operand_get_type(void);
+
+/* Crée un opérande de substitution pour variable de pile. */
+GArchOperand *g_stack_var_operand_new(const GArchOperand *);
+
+
+
+#endif /* _PLUGINS_STACKVARS_OPERAND_H */
diff --git a/plugins/stackvars/stackvars.c b/plugins/stackvars/stackvars.c
new file mode 100644
index 0000000..5f34119
--- /dev/null
+++ b/plugins/stackvars/stackvars.c
@@ -0,0 +1,260 @@
+
+/* OpenIDA - Outil d'analyse de fichiers binaires
+ * stackvars.c - substitution des emplacements de pile par des variables
+ *
+ * Copyright (C) 2009 Cyrille Bagard
+ *
+ * This file is part of OpenIDA.
+ *
+ * OpenIDA is free software; you can redistribute it and/or modify
+ * it under the terms of the GNU General Public License as published by
+ * the Free Software Foundation; either version 3 of the License, or
+ * (at your option) any later version.
+ *
+ * OpenIDA is distributed in the hope that it will be useful,
+ * but WITHOUT ANY WARRANTY; without even the implied warranty of
+ * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
+ * GNU General Public License for more details.
+ *
+ * You should have received a copy of the GNU General Public License
+ * along with Foobar. If not, see <http://www.gnu.org/licenses/>.
+ */
+
+
+#include "stackvars.h"
+
+
+#include <analysis/line_code.h>
+#include <analysis/prototype.h>
+#include <arch/x86/operand.h>
+#include <format/exe_format.h>
+
+
+#include "operand.h"
+
+
+
+/* Effectue tous les remplacements possibles dans une routine. */
+static bool replace_stack_vars_in_routine(GBinRoutine *, GRenderingLine *);
+
+/* Effectue d'éventuels remplacements dans une instruction. */
+static bool replace_stack_vars_in_instruction(GArchInstruction *);
+
+/* Effectue d'éventuels remplacements dans un opérande. */
+static GArchOperand *replace_stack_vars_in_operand(const GArchOperand *);
+
+
+
+/******************************************************************************
+* *
+* Paramètres : ref = espace de référencement global. *
+* *
+* Description : Initialise le greffon pour les bornes de routine. *
+* *
+* Retour : true. *
+* *
+* Remarques : - *
+* *
+******************************************************************************/
+
+G_MODULE_EXPORT bool init_plugin(GObject *ref)
+{
+ return true;
+
+}
+
+
+/******************************************************************************
+* *
+* Paramètres : - *
+* *
+* Description : Fournit une indication sur le type d'opération(s) menée(s). *
+* *
+* Retour : Description d'une action. *
+* *
+* Remarques : - *
+* *
+******************************************************************************/
+
+G_MODULE_EXPORT PluginAction get_plugin_action(void)
+{
+ return PGA_CODE_PROCESS;
+
+}
+
+
+/******************************************************************************
+* *
+* Paramètres : binary = représentation binaire à traiter. *
+* action = action attendue. *
+* *
+* Description : Exécute une action définie sur un binaire chargé. *
+* *
+* Retour : true si une action a été menée, false sinon. *
+* *
+* Remarques : - *
+* *
+******************************************************************************/
+
+G_MODULE_EXPORT bool execute_action_on_binary(openida_binary *binary, PluginAction action)
+{
+ bool result; /* Bilan à retourner */
+ GRenderingLine *lines; /* Lignes de rendu */
+ exe_format *format; /* Format du binaire fourni */
+ GBinRoutine **routines; /* Liste des routines trouvées */
+ size_t routines_count; /* Nombre de ces routines */
+ size_t i; /* Boucle de parcours */
+
+ result = false;
+
+ printf(" ------------- exec stackvars !!!\n");
+
+ lines = get_openida_binary_lines(binary);
+
+ format = get_openida_binary_format(binary);
+ routines = get_all_exe_routines(format, &routines_count);
+
+ for (i = 0; i < routines_count; i++)
+ result |= replace_stack_vars_in_routine(routines[i], lines);
+
+ return result;
+
+}
+
+
+/******************************************************************************
+* *
+* Paramètres : routine = routine dont le code est à analyser. *
+* lines = ensemble des lignes de rendu. *
+* *
+* Description : Effectue tous les remplacements possibles dans une routine. *
+* *
+* Retour : true si une action a été menée, false sinon. *
+* *
+* Remarques : - *
+* *
+******************************************************************************/
+
+static bool replace_stack_vars_in_routine(GBinRoutine *routine, GRenderingLine *lines)
+{
+ bool result; /* Bilan à retourner */
+ vmpa_t start; /* Adresse de début de routine */
+ vmpa_t end; /* Adresse de fin de routine */
+ GRenderingLine *iter; /* Boucle de parcours */
+ GArchInstruction *instr; /* Instruction à ausculter */
+
+ result = false;
+
+ start = g_binary_routine_get_address(routine);
+ end = start + g_binary_routine_get_size(routine);
+
+
+
+ printf(" +++ processing '%s'\n", g_binary_routine_get_name(routine));
+
+
+
+ for (iter = g_rendering_line_find_by_address(lines, NULL, start);
+ iter != NULL && get_rendering_line_address(iter) < end;
+ iter = g_rendering_line_get_next_iter(lines, iter, NULL))
+ {
+ if (!G_IS_CODE_LINE(iter)) continue;
+
+ instr = g_code_line_get_instruction(G_CODE_LINE(iter));
+
+ result |= replace_stack_vars_in_instruction(instr);
+
+ }
+
+ return result;
+
+}
+
+
+/******************************************************************************
+* *
+* Paramètres : instr = instruction dont le contenu peut être modifié. *
+* *
+* Description : Effectue d'éventuels remplacements dans une instruction. *
+* *
+* Retour : true si une action a été menée, false sinon. *
+* *
+* Remarques : - *
+* *
+******************************************************************************/
+
+static bool replace_stack_vars_in_instruction(GArchInstruction *instr)
+{
+ bool result; /* Bilan à renvoyer */
+ size_t opcount; /* Nombre d'opérandes */
+ size_t i; /* Boucle de parcours */
+ const GArchOperand *operand; /* Opérande de l'instruction */
+ GArchOperand *new; /* Opérande d'encapsulation */
+
+ result = false;
+
+ opcount = g_arch_instruction_count_operands(instr);
+
+ for (i = 0; i < opcount; i++)
+ {
+ operand = g_arch_instruction_get_operand(instr, i);
+ new = replace_stack_vars_in_operand(operand);
+
+ if (new != NULL)
+ {
+ g_arch_instruction_replace_operand(instr, new, operand);
+
+ result = true;
+
+ }
+
+ }
+
+ return result;
+
+}
+
+
+/******************************************************************************
+* *
+* Paramètres : operand = opérande dont le contenu est à analyser. *
+* *
+* Description : Effectue d'éventuels remplacements dans un opérande. *
+* *
+* Retour : Nouvel opérande de remplacemet ou NULL si aucun besoin. *
+* *
+* Remarques : - *
+* *
+******************************************************************************/
+
+static GArchOperand *replace_stack_vars_in_operand(const GArchOperand *operand)
+{
+ GArchOperand *result; /* Encapsulation à retourner */
+ uint8_t scale; /* Puissance de deux */
+ x86_register *index; /* Registre servant d'indice */
+ x86_register *base; /* Registre de base */
+ GImmOperand *displacement; /* Décallage supplémentaire */
+
+ result = NULL;
+
+ if (G_IS_X86_MOD_RM_OPERAND(operand))
+ {
+ g_x86_mod_rm_operand_get_scale_and_index(G_X86_MOD_RM_OPERAND(operand), &scale, &index);
+ base = g_x86_mod_rm_operand_get_base(G_X86_MOD_RM_OPERAND(operand));
+ displacement = g_x86_mod_rm_operand_get_displacement(G_X86_MOD_RM_OPERAND(operand));
+
+ if (scale == 0 && is_x86_register_base_pointer(index) && base == NULL)
+ {
+
+ printf(" [+] found one ebp !!\n");
+ result = g_stack_var_operand_new(operand);
+
+ }
+
+
+
+ }
+
+ return result;
+
+}
diff --git a/plugins/stackvars/stackvars.h b/plugins/stackvars/stackvars.h
new file mode 100644
index 0000000..ef7e548
--- /dev/null
+++ b/plugins/stackvars/stackvars.h
@@ -0,0 +1,49 @@
+
+/* OpenIDA - Outil d'analyse de fichiers binaires
+ * stackvars.h - prototypes pour la substitution des emplacements de pile par des variables
+ *
+ * Copyright (C) 2009 Cyrille Bagard
+ *
+ * This file is part of OpenIDA.
+ *
+ * OpenIDA is free software; you can redistribute it and/or modify
+ * it under the terms of the GNU General Public License as published by
+ * the Free Software Foundation; either version 3 of the License, or
+ * (at your option) any later version.
+ *
+ * OpenIDA is distributed in the hope that it will be useful,
+ * but WITHOUT ANY WARRANTY; without even the implied warranty of
+ * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
+ * GNU General Public License for more details.
+ *
+ * You should have received a copy of the GNU General Public License
+ * along with Foobar. If not, see <http://www.gnu.org/licenses/>.
+ */
+
+
+#ifndef _PLUGINS_STACKVARS_STACKVARS_H
+#define _PLUGINS_STACKVARS_STACKVARS_H
+
+
+#include <glib-object.h>
+#include <gmodule.h>
+#include <stdbool.h>
+
+
+#include <analysis/binary.h>
+#include <plugins/plugin-def.h>
+
+
+
+/* Initialise le greffon pour les bornes de routine. */
+G_MODULE_EXPORT bool init_plugin(GObject *);
+
+/* Fournit une indication sur le type d'opération(s) menée(s). */
+G_MODULE_EXPORT PluginAction get_plugin_action(void);
+
+/* Exécute une action définie sur un binaire chargé. */
+G_MODULE_EXPORT bool execute_action_on_binary(openida_binary *, PluginAction);
+
+
+
+#endif /* _PLUGINS_STACKVARS_STACKVARS_H */