diff options
author | Cyrille Bagard <nocbos@gmail.com> | 2023-01-30 06:59:35 (GMT) |
---|---|---|
committer | Cyrille Bagard <nocbos@gmail.com> | 2023-01-30 06:59:35 (GMT) |
commit | db3b204dd7a71b2f74a4e69b2159a96e3ab66614 (patch) | |
tree | 34174311b7ac504f03a10a889ada7f28db7a06c0 /src/analysis/scan/matches/bytes.c | |
parent | 34ee1bfca78e8423cfa29329fdc756569d6b1960 (diff) |
Save an initial version of rost.
Diffstat (limited to 'src/analysis/scan/matches/bytes.c')
-rw-r--r-- | src/analysis/scan/matches/bytes.c | 286 |
1 files changed, 286 insertions, 0 deletions
diff --git a/src/analysis/scan/matches/bytes.c b/src/analysis/scan/matches/bytes.c new file mode 100644 index 0000000..90fa27d --- /dev/null +++ b/src/analysis/scan/matches/bytes.c @@ -0,0 +1,286 @@ + +/* Chrysalide - Outil d'analyse de fichiers binaires + * bytes.h - sauvegarde d'une correspondance identifiée de suite d'octets + * + * Copyright (C) 2022 Cyrille Bagard + * + * This file is part of Chrysalide. + * + * Chrysalide is free software; you can redistribute it and/or modify + * it under the terms of the GNU General Public License as published by + * the Free Software Foundation; either version 3 of the License, or + * (at your option) any later version. + * + * Chrysalide is distributed in the hope that it will be useful, + * but WITHOUT ANY WARRANTY; without even the implied warranty of + * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the + * GNU General Public License for more details. + * + * You should have received a copy of the GNU General Public License + * along with Foobar. If not, see <http://www.gnu.org/licenses/>. + */ + + +#include "bytes.h" + + +#include <ctype.h> + + +#include "bytes-int.h" + + + +/* --------------------- CORRESPONDANCE AVEC UNE SUITE D'OCTETS --------------------- */ + + +/* Initialise la classe des correspondances de chaînes. */ +static void g_bytes_match_class_init(GBytesMatchClass *); + +/* Initialise une instance de correspondance de chaîne trouvée. */ +static void g_bytes_match_init(GBytesMatch *); + +/* Supprime toutes les références externes. */ +static void g_bytes_match_dispose(GBytesMatch *); + +/* Procède à la libération totale de la mémoire. */ +static void g_bytes_match_finalize(GBytesMatch *); + + + +/* --------------------- IMPLEMENTATION DES FONCTIONS DE CLASSE --------------------- */ + + +/* Affiche une correspondance sur la sortie standard. */ +static void g_bytes_match_display(const GBytesMatch *); + + + +/* ---------------------------------------------------------------------------------- */ +/* CORRESPONDANCE AVEC UNE SUITE D'OCTETS */ +/* ---------------------------------------------------------------------------------- */ + + +/* Indique le type défini pour un correspondance de chaîne identifiée. */ +G_DEFINE_TYPE(GBytesMatch, g_bytes_match, G_TYPE_SCAN_MATCH); + + +/****************************************************************************** +* * +* Paramètres : klass = classe à initialiser. * +* * +* Description : Initialise la classe des correspondances de chaînes. * +* * +* Retour : - * +* * +* Remarques : - * +* * +******************************************************************************/ + +static void g_bytes_match_class_init(GBytesMatchClass *klass) +{ + GObjectClass *object; /* Autre version de la classe */ + GScanMatchClass *match; /* Version parente de la classe*/ + + object = G_OBJECT_CLASS(klass); + + object->dispose = (GObjectFinalizeFunc/* ! */)g_bytes_match_dispose; + object->finalize = (GObjectFinalizeFunc)g_bytes_match_finalize; + + match = G_SCAN_MATCH_CLASS(klass); + + match->display = (display_scan_match_fc)g_bytes_match_display; + +} + + +/****************************************************************************** +* * +* Paramètres : match = instance à initialiser. * +* * +* Description : Initialise une instance de correspondance de chaîne trouvée. * +* * +* Retour : - * +* * +* Remarques : - * +* * +******************************************************************************/ + +static void g_bytes_match_init(GBytesMatch *match) +{ + match->content = NULL; + + match->start = VMPA_NO_PHYSICAL; + match->len = VMPA_NO_PHYSICAL; + +} + + +/****************************************************************************** +* * +* Paramètres : match = instance d'objet GLib à traiter. * +* * +* Description : Supprime toutes les références externes. * +* * +* Retour : - * +* * +* Remarques : - * +* * +******************************************************************************/ + +static void g_bytes_match_dispose(GBytesMatch *match) +{ + g_clear_object(&match->content); + + G_OBJECT_CLASS(g_bytes_match_parent_class)->dispose(G_OBJECT(match)); + +} + + +/****************************************************************************** +* * +* Paramètres : match = instance d'objet GLib à traiter. * +* * +* Description : Procède à la libération totale de la mémoire. * +* * +* Retour : - * +* * +* Remarques : - * +* * +******************************************************************************/ + +static void g_bytes_match_finalize(GBytesMatch *match) +{ + G_OBJECT_CLASS(g_bytes_match_parent_class)->finalize(G_OBJECT(match)); + +} + + +/****************************************************************************** +* * +* Paramètres : source = lien vers le motif recherché d'origine. * +* content = contenu binaire présentant un motif reconnu. * +* start = position de départ d'un motif détecté. * +* len = taille du motif repéré. * +* * +* Description : Prend note d'une correspondance trouvée avec un motif. * +* * +* Retour : Correspondance mise en place. * +* * +* Remarques : - * +* * +******************************************************************************/ + +GScanMatch *g_bytes_match_new(GSearchPattern *source, GBinContent *content, phys_t start, phys_t len) +{ + GScanMatch *result; /* Structure à retourner */ + + result = g_object_new(G_TYPE_BYTES_MATCH, NULL); + + if (!g_bytes_match_create(G_BYTES_MATCH(result), source, content, start, len)) + g_clear_object(&result); + + return result; + +} + + +/****************************************************************************** +* * +* Paramètres : match = instance à initialiser pleinement. * +* source = lien vers le motif recherché d'origine. * +* content = contenu binaire présentant un motif reconnu. * +* start = position de départ d'un motif détecté. * +* len = taille du motif repéré. * +* * +* Description : Met en place une correspondance trouvée avec un motif. * +* * +* Retour : Bilan de l'opération. * +* * +* Remarques : - * +* * +******************************************************************************/ + +bool g_bytes_match_create(GBytesMatch *match, GSearchPattern *source, GBinContent *content, phys_t start, phys_t len) +{ + bool result; /* Bilan à retourner */ + GScanMatch *base; /* Lien vers les infos de base */ + + result = true; + + base = G_SCAN_MATCH(match); + + base->source = source; + g_object_ref(G_OBJECT(source)); + + match->content = content; + g_object_ref(G_OBJECT(content)); + + match->start = start; + match->len = len; + + return result; + +} + + + +/* ---------------------------------------------------------------------------------- */ +/* IMPLEMENTATION DES FONCTIONS DE CLASSE */ +/* ---------------------------------------------------------------------------------- */ + + +/****************************************************************************** +* * +* Paramètres : match = définition de correspondance à manipuler. * +* * +* Description : Affiche une correspondance sur la sortie standard. * +* * +* Retour : - * +* * +* Remarques : - * +* * +******************************************************************************/ + +static void g_bytes_match_display(const GBytesMatch *match) +{ + GScanMatch *base; /* Lien vers les infos de base */ + const char *name; /* Désignation du motif ciblé */ + vmpa2t pos; /* Tête de lecture */ + const bin_t *data; /* Accès aux données brutes */ + phys_t i; /* Boucle de parcours */ + + /* Affichage d'un repère */ + + base = G_SCAN_MATCH(match); + + name = g_search_pattern_get_name(base->source); + + /** + * Les fonctionnalités Yara d'origine autorisent les variables anonymes '$'. + * + * Cette absence de nom est supportée ici. + */ + + if (name == NULL) + name = ""; + + printf("0x%llx:$%s: ", (unsigned long long)match->start, name); + + /* Affichage du contenu */ + + init_vmpa(&pos, match->start, VMPA_NO_VIRTUAL); + + data = g_binary_content_get_raw_access(match->content, &pos, match->len); + + for (i = 0; i < match->len; i++) + { + if (isprint(data[i])) + printf("%c", data[i]); + else + printf("\\x%02hhx", data[i]); + } + + printf("\n"); + +} |