diff options
Diffstat (limited to 'src/analysis/scan/funcs')
-rw-r--r-- | src/analysis/scan/funcs/Makefile.am | 15 | ||||
-rw-r--r-- | src/analysis/scan/funcs/datasize.c | 214 | ||||
-rw-r--r-- | src/analysis/scan/funcs/datasize.h | 55 | ||||
-rw-r--r-- | src/analysis/scan/funcs/uint-int.h | 54 | ||||
-rw-r--r-- | src/analysis/scan/funcs/uint.c | 266 | ||||
-rw-r--r-- | src/analysis/scan/funcs/uint.h | 56 |
6 files changed, 660 insertions, 0 deletions
diff --git a/src/analysis/scan/funcs/Makefile.am b/src/analysis/scan/funcs/Makefile.am new file mode 100644 index 0000000..be370ba --- /dev/null +++ b/src/analysis/scan/funcs/Makefile.am @@ -0,0 +1,15 @@ + +noinst_LTLIBRARIES = libanalysisscanfuncs.la + + +libanalysisscanfuncs_la_SOURCES = \ + datasize.h datasize.c \ + uint-int.h \ + uint.h uint.c + +libanalysisscanfuncs_la_CFLAGS = $(LIBGOBJ_CFLAGS) + + +devdir = $(includedir)/chrysalide/$(subdir:src/%=core/%) + +dev_HEADERS = $(libanalysisscanfuncs_la_SOURCES:%c=) diff --git a/src/analysis/scan/funcs/datasize.c b/src/analysis/scan/funcs/datasize.c new file mode 100644 index 0000000..7e63095 --- /dev/null +++ b/src/analysis/scan/funcs/datasize.c @@ -0,0 +1,214 @@ + +/* Chrysalide - Outil d'analyse de fichiers binaires + * datasize.c - récupération de la taille du contenu scanné + * + * Copyright (C) 2022 Cyrille Bagard + * + * This file is part of Chrysalide. + * + * Chrysalide is free software; you can redistribute it and/or modify + * it under the terms of the GNU General Public License as published by + * the Free Software Foundation; either version 3 of the License, or + * (at your option) any later version. + * + * Chrysalide is distributed in the hope that it will be useful, + * but WITHOUT ANY WARRANTY; without even the implied warranty of + * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the + * GNU General Public License for more details. + * + * You should have received a copy of the GNU General Public License + * along with Foobar. If not, see <http://www.gnu.org/licenses/>. + */ + + +#include "datasize.h" + + +#include "../func-int.h" +#include "../exprs/literal.h" + + + +/* ---------------------- INTRODUCTION D'UNE NOUVELLE FONCTION ---------------------- */ + + +/* Initialise la classe des mesures de quantité de données. */ +static void g_datasize_function_class_init(GDatasizeFunctionClass *); + +/* Initialise une instance de mesure de quantité de données. */ +static void g_datasize_function_init(GDatasizeFunction *); + +/* Supprime toutes les références externes. */ +static void g_datasize_function_dispose(GDatasizeFunction *); + +/* Procède à la libération totale de la mémoire. */ +static void g_datasize_function_finalize(GDatasizeFunction *); + + + +/* --------------------- IMPLEMENTATION DES FONCTIONS DE CLASSE --------------------- */ + + +/* Réduit une expression à une forme plus simple. */ +static GScanExpression *g_datasize_function_reduce(GDatasizeFunction *, GScanContext *, GScanExpression **, size_t, bool); + + + +/* ---------------------------------------------------------------------------------- */ +/* INTRODUCTION D'UNE NOUVELLE FONCTION */ +/* ---------------------------------------------------------------------------------- */ + + +/* Indique le type défini pour une mesure de quantité de données scannées. */ +G_DEFINE_TYPE(GDatasizeFunction, g_datasize_function, G_TYPE_SCAN_FUNCTION); + + +/****************************************************************************** +* * +* Paramètres : klass = classe à initialiser. * +* * +* Description : Initialise la classe des mesures de quantité de données. * +* * +* Retour : - * +* * +* Remarques : - * +* * +******************************************************************************/ + +static void g_datasize_function_class_init(GDatasizeFunctionClass *klass) +{ + GObjectClass *object; /* Autre version de la classe */ + GRegisteredItemClass *registered; /* Version de classe parente */ + + object = G_OBJECT_CLASS(klass); + + object->dispose = (GObjectFinalizeFunc/* ! */)g_datasize_function_dispose; + object->finalize = (GObjectFinalizeFunc)g_datasize_function_finalize; + + registered = G_REGISTERED_ITEM_CLASS(klass); + + registered->reduce = (reduce_registered_item_fc)g_datasize_function_reduce; + +} + + +/****************************************************************************** +* * +* Paramètres : func = instance à initialiser. * +* * +* Description : Initialise une instance de mesure de quantité de données. * +* * +* Retour : - * +* * +* Remarques : - * +* * +******************************************************************************/ + +static void g_datasize_function_init(GDatasizeFunction *func) +{ + +} + + +/****************************************************************************** +* * +* Paramètres : func = instance d'objet GLib à traiter. * +* * +* Description : Supprime toutes les références externes. * +* * +* Retour : - * +* * +* Remarques : - * +* * +******************************************************************************/ + +static void g_datasize_function_dispose(GDatasizeFunction *func) +{ + G_OBJECT_CLASS(g_datasize_function_parent_class)->dispose(G_OBJECT(func)); + +} + + +/****************************************************************************** +* * +* Paramètres : func = instance d'objet GLib à traiter. * +* * +* Description : Procède à la libération totale de la mémoire. * +* * +* Retour : - * +* * +* Remarques : - * +* * +******************************************************************************/ + +static void g_datasize_function_finalize(GDatasizeFunction *func) +{ + G_OBJECT_CLASS(g_datasize_function_parent_class)->finalize(G_OBJECT(func)); + +} + + +/****************************************************************************** +* * +* Paramètres : - * +* * +* Description : Constitue une fonction de récupération de taille de données. * +* * +* Retour : Fonction mise en place. * +* * +* Remarques : - * +* * +******************************************************************************/ + +GScanFunction *g_datasize_function_new(void) +{ + GScanFunction *result; /* Structure à retourner */ + + result = g_object_new(G_TYPE_DATASIZE_FUNCTION, NULL); + + return result; + +} + + + +/* ---------------------------------------------------------------------------------- */ +/* IMPLEMENTATION DES FONCTIONS DE CLASSE */ +/* ---------------------------------------------------------------------------------- */ + + +/****************************************************************************** +* * +* Paramètres : func = élément d'appel à consulter. * +* target = désignation de l'objet d'appel à identifier. * +* ctx = contexte de suivi de l'analyse courante. * +* args = liste d'éventuels arguments fournis. * +* count = taille de cette liste. * +* last = l'élément est-il le dernier d'une chaîne d'appels ? * +* final = indique une ultime conversion dans le cycle en cours.* +* * +* Description : Réduit une expression à une forme plus simple. * +* * +* Retour : Réduction correspondante, expression déjà réduite, ou NULL. * +* * +* Remarques : - * +* * +******************************************************************************/ + +static GScanExpression *g_datasize_function_reduce(GDatasizeFunction *func, GScanContext *ctx, GScanExpression **args, size_t count, bool final) +{ + GScanExpression *result; /* Instance à renvoyer */ + GBinContent *content; /* Contenu à manipuler */ + phys_t size; /* Quantité de données liées */ + + content = g_scan_context_get_content(ctx); + + size = g_binary_content_compute_size(content); + + result = g_literal_expression_new(EVT_INTEGER, (unsigned long long []){ size }); + + g_object_unref(G_OBJECT(content)); + + return result; + +} diff --git a/src/analysis/scan/funcs/datasize.h b/src/analysis/scan/funcs/datasize.h new file mode 100644 index 0000000..bdd813d --- /dev/null +++ b/src/analysis/scan/funcs/datasize.h @@ -0,0 +1,55 @@ + +/* Chrysalide - Outil d'analyse de fichiers binaires + * datasize.h - prototypes pour la récupération de la taille du contenu scanné + * + * Copyright (C) 2022 Cyrille Bagard + * + * This file is part of Chrysalide. + * + * Chrysalide is free software; you can redistribute it and/or modify + * it under the terms of the GNU General Public License as published by + * the Free Software Foundation; either version 3 of the License, or + * (at your option) any later version. + * + * Chrysalide is distributed in the hope that it will be useful, + * but WITHOUT ANY WARRANTY; without even the implied warranty of + * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the + * GNU General Public License for more details. + * + * You should have received a copy of the GNU General Public License + * along with Foobar. If not, see <http://www.gnu.org/licenses/>. + */ + + +#ifndef _ANALYSIS_SCAN_FUNCS_DATASIZE_H +#define _ANALYSIS_SCAN_FUNCS_DATASIZE_H + + +#include "../func.h" + + + +#define G_TYPE_DATASIZE_FUNCTION g_datasize_function_get_type() +#define G_DATASIZE_FUNCTION(obj) (G_TYPE_CHECK_INSTANCE_CAST((obj), G_TYPE_DATASIZE_FUNCTION, GDatasizeFunction)) +#define G_IS_DATASIZE_FUNCTION(obj) (G_TYPE_CHECK_INSTANCE_TYPE((obj), G_TYPE_DATASIZE_FUNCTION)) +#define G_DATASIZE_FUNCTION_CLASS(klass) (G_TYPE_CHECK_CLASS_CAST((klass), G_TYPE_DATASIZE_FUNCTION, GDatasizeFunctionClass)) +#define G_IS_DATASIZE_FUNCTION_CLASS(klass) (G_TYPE_CHECK_CLASS_TYPE((klass), G_TYPE_DATASIZE_FUNCTION)) +#define G_DATASIZE_FUNCTION_GET_CLASS(obj) (G_TYPE_INSTANCE_GET_CLASS((obj), G_TYPE_DATASIZE_FUNCTION, GDatasizeFunctionClass)) + + +/* Mesure de la quantité de données scannées (instance) */ +typedef GScanFunction GDatasizeFunction; + +/* Mesure de la quantité de données scannées (classe) */ +typedef GScanFunctionClass GDatasizeFunctionClass; + + +/* Indique le type défini pour une mesure de quantité de données scannées. */ +GType g_datasize_function_get_type(void); + +/* Constitue une fonction de récupération de taille de données. */ +GScanFunction *g_datasize_function_new(void); + + + +#endif /* _ANALYSIS_SCAN_FUNCS_DATASIZE_H */ diff --git a/src/analysis/scan/funcs/uint-int.h b/src/analysis/scan/funcs/uint-int.h new file mode 100644 index 0000000..0817805 --- /dev/null +++ b/src/analysis/scan/funcs/uint-int.h @@ -0,0 +1,54 @@ + +/* Chrysalide - Outil d'analyse de fichiers binaires + * uint-int.h - prototypes internes pour la lecture d'un mot à partir de données binaires + * + * Copyright (C) 2022 Cyrille Bagard + * + * This file is part of Chrysalide. + * + * Chrysalide is free software; you can redistribute it and/or modify + * it under the terms of the GNU General Public License as published by + * the Free Software Foundation; either version 3 of the License, or + * (at your option) any later version. + * + * Chrysalide is distributed in the hope that it will be useful, + * but WITHOUT ANY WARRANTY; without even the implied warranty of + * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the + * GNU General Public License for more details. + * + * You should have received a copy of the GNU General Public License + * along with Foobar. If not, see <http://www.gnu.org/licenses/>. + */ + + +#ifndef _ANALYSIS_SCAN_FUNCS_UINT_INT_H +#define _ANALYSIS_SCAN_FUNCS_UINT_INT_H + + +#include "uint.h" + + +#include "../func-int.h" + + + +/* Fonction conduisant à la lecture d'un mot (instance) */ +struct _GUintFunction +{ + GScanFunction parent; /* A laisser en premier */ + + MemoryDataSize size; /* Taille du mot à lire */ + SourceEndian endian; /* Boutisme à respecter */ + +}; + +/* Fonction conduisant à la lecture d'un mot (classe) */ +struct _GUintFunctionClass +{ + GScanFunctionClass parent; /* A laisser en premier */ + +}; + + + +#endif /* _ANALYSIS_SCAN_FUNCS_UINT_INT_H */ diff --git a/src/analysis/scan/funcs/uint.c b/src/analysis/scan/funcs/uint.c new file mode 100644 index 0000000..6421f52 --- /dev/null +++ b/src/analysis/scan/funcs/uint.c @@ -0,0 +1,266 @@ + +/* Chrysalide - Outil d'analyse de fichiers binaires + * uint.c - lecture d'un mot à partir de données binaires + * + * Copyright (C) 2022 Cyrille Bagard + * + * This file is part of Chrysalide. + * + * Chrysalide is free software; you can redistribute it and/or modify + * it under the terms of the GNU General Public License as published by + * the Free Software Foundation; either version 3 of the License, or + * (at your option) any later version. + * + * Chrysalide is distributed in the hope that it will be useful, + * but WITHOUT ANY WARRANTY; without even the implied warranty of + * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the + * GNU General Public License for more details. + * + * You should have received a copy of the GNU General Public License + * along with Foobar. If not, see <http://www.gnu.org/licenses/>. + */ + + +#include "uint.h" + + +#include "uint-int.h" +#include "../exprs/literal.h" + + + +/* ---------------------- INTRODUCTION D'UNE NOUVELLE FONCTION ---------------------- */ + + +/* Initialise la classe des lectures de valeurs entières. */ +static void g_uint_function_class_init(GUintFunctionClass *); + +/* Initialise une instance de lecture de valeur entière. */ +static void g_uint_function_init(GUintFunction *); + +/* Supprime toutes les références externes. */ +static void g_uint_function_dispose(GUintFunction *); + +/* Procède à la libération totale de la mémoire. */ +static void g_uint_function_finalize(GUintFunction *); + + + +/* --------------------- IMPLEMENTATION DES FONCTIONS DE CLASSE --------------------- */ + + +/* Réduit une expression à une forme plus simple. */ +static GScanExpression *g_uint_function_reduce(GUintFunction *, GScanContext *, GScanExpression **, size_t, bool); + + + +/* ---------------------------------------------------------------------------------- */ +/* INTRODUCTION D'UNE NOUVELLE FONCTION */ +/* ---------------------------------------------------------------------------------- */ + + +/* Indique le type défini pour une lecture de mot à partir de données binaires. */ +G_DEFINE_TYPE(GUintFunction, g_uint_function, G_TYPE_SCAN_FUNCTION); + + +/****************************************************************************** +* * +* Paramètres : klass = classe à initialiser. * +* * +* Description : Initialise la classe des lectures de valeurs entières. * +* * +* Retour : - * +* * +* Remarques : - * +* * +******************************************************************************/ + +static void g_uint_function_class_init(GUintFunctionClass *klass) +{ + GObjectClass *object; /* Autre version de la classe */ + GRegisteredItemClass *registered; /* Version de classe parente */ + + object = G_OBJECT_CLASS(klass); + + object->dispose = (GObjectFinalizeFunc/* ! */)g_uint_function_dispose; + object->finalize = (GObjectFinalizeFunc)g_uint_function_finalize; + + registered = G_REGISTERED_ITEM_CLASS(klass); + + registered->reduce = (reduce_registered_item_fc)g_uint_function_reduce; + +} + + +/****************************************************************************** +* * +* Paramètres : func = instance à initialiser. * +* * +* Description : Initialise une instance de lecture de valeur entière. * +* * +* Retour : - * +* * +* Remarques : - * +* * +******************************************************************************/ + +static void g_uint_function_init(GUintFunction *func) +{ + func->size = MDS_UNDEFINED; + func->endian = SRE_LITTLE; + +} + + +/****************************************************************************** +* * +* Paramètres : func = instance d'objet GLib à traiter. * +* * +* Description : Supprime toutes les références externes. * +* * +* Retour : - * +* * +* Remarques : - * +* * +******************************************************************************/ + +static void g_uint_function_dispose(GUintFunction *func) +{ + G_OBJECT_CLASS(g_uint_function_parent_class)->dispose(G_OBJECT(func)); + +} + + +/****************************************************************************** +* * +* Paramètres : func = instance d'objet GLib à traiter. * +* * +* Description : Procède à la libération totale de la mémoire. * +* * +* Retour : - * +* * +* Remarques : - * +* * +******************************************************************************/ + +static void g_uint_function_finalize(GUintFunction *func) +{ + G_OBJECT_CLASS(g_uint_function_parent_class)->finalize(G_OBJECT(func)); + +} + + +/****************************************************************************** +* * +* Paramètres : size = taille du mot à venir lire dans les données. * +* * +* Description : Constitue une fonction de lecture de valeur entière. * +* * +* Retour : Fonction mise en place. * +* * +* Remarques : - * +* * +******************************************************************************/ + +GScanFunction *g_uint_function_new(MemoryDataSize size) +{ + GScanFunction *result; /* Structure à retourner */ + + result = g_object_new(G_TYPE_UINT_FUNCTION, NULL); + + G_UINT_FUNCTION(result)->size = size; + + return result; + +} + + + +/* ---------------------------------------------------------------------------------- */ +/* IMPLEMENTATION DES FONCTIONS DE CLASSE */ +/* ---------------------------------------------------------------------------------- */ + + +/****************************************************************************** +* * +* Paramètres : func = élément d'appel à consulter. * +* target = désignation de l'objet d'appel à identifier. * +* ctx = contexte de suivi de l'analyse courante. * +* args = liste d'éventuels arguments fournis. * +* count = taille de cette liste. * +* last = l'élément est-il le dernier d'une chaîne d'appels ? * +* final = indique une ultime conversion dans le cycle en cours.* +* * +* Description : Réduit une expression à une forme plus simple. * +* * +* Retour : Réduction correspondante, expression déjà réduite, ou NULL. * +* * +* Remarques : - * +* * +******************************************************************************/ + +static GScanExpression *g_uint_function_reduce(GUintFunction *func, GScanContext *ctx, GScanExpression **args, size_t count, bool final) +{ + GScanExpression *result; /* Instance à renvoyer */ + unsigned long long offset; /* Position du mot ciblé */ + bool status; /* Bilan d'une opération */ + GBinContent *content; /* Contenu à manipuler */ + vmpa2t pos; /* Tête de lecture */ + uint8_t val_8; /* Valeur entière sur 8 bits */ + uint16_t val_16; /* Valeur entière sur 16 bits */ + uint32_t val_32; /* Valeur entière sur 32 bits */ + uint64_t val_64; /* Valeur entière sur 64 bits */ + + result = NULL; + + if (count == 1 && G_IS_LITERAL_EXPRESSION(args[0])) + { + status = g_literal_expression_get_integer_value(G_LITERAL_EXPRESSION(args[0]), &offset); + if (!status) goto exit; + + content = g_scan_context_get_content(ctx); + + g_binary_content_compute_start_pos(content, &pos); + advance_vmpa(&pos, offset); + + switch (func->size) + { + case MDS_8_BITS_UNSIGNED: + status = g_binary_content_read_u8(content, &pos, &val_8); + if (status) + result = g_literal_expression_new(EVT_INTEGER, (unsigned long long []){ val_8 }); + break; + + case MDS_16_BITS_UNSIGNED: + status = g_binary_content_read_u16(content, &pos, func->endian, &val_16); + if (status) + result = g_literal_expression_new(EVT_INTEGER, (unsigned long long []){ val_16 }); + break; + + case MDS_32_BITS_UNSIGNED: + status = g_binary_content_read_u32(content, &pos, func->endian, &val_32); + if (status) + result = g_literal_expression_new(EVT_INTEGER, (unsigned long long []){ val_32 }); + break; + + + case MDS_64_BITS_UNSIGNED: + status = g_binary_content_read_u64(content, &pos, func->endian, &val_64); + if (status) + result = g_literal_expression_new(EVT_INTEGER, (unsigned long long []){ val_64 }); + break; + + default: + break; + + } + + g_object_unref(G_OBJECT(content)); + + } + + exit: + + return result; + +} diff --git a/src/analysis/scan/funcs/uint.h b/src/analysis/scan/funcs/uint.h new file mode 100644 index 0000000..fe6cb52 --- /dev/null +++ b/src/analysis/scan/funcs/uint.h @@ -0,0 +1,56 @@ + +/* Chrysalide - Outil d'analyse de fichiers binaires + * uint.h - prototypes pour la lecture d'un mot à partir de données binaires + * + * Copyright (C) 2022 Cyrille Bagard + * + * This file is part of Chrysalide. + * + * Chrysalide is free software; you can redistribute it and/or modify + * it under the terms of the GNU General Public License as published by + * the Free Software Foundation; either version 3 of the License, or + * (at your option) any later version. + * + * Chrysalide is distributed in the hope that it will be useful, + * but WITHOUT ANY WARRANTY; without even the implied warranty of + * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the + * GNU General Public License for more details. + * + * You should have received a copy of the GNU General Public License + * along with Foobar. If not, see <http://www.gnu.org/licenses/>. + */ + + +#ifndef _ANALYSIS_SCAN_FUNCS_UINT_H +#define _ANALYSIS_SCAN_FUNCS_UINT_H + + +#include "../func.h" +#include "../../../arch/archbase.h" + + + +#define G_TYPE_UINT_FUNCTION g_uint_function_get_type() +#define G_UINT_FUNCTION(obj) (G_TYPE_CHECK_INSTANCE_CAST((obj), G_TYPE_UINT_FUNCTION, GUintFunction)) +#define G_IS_UINT_FUNCTION(obj) (G_TYPE_CHECK_INSTANCE_TYPE((obj), G_TYPE_UINT_FUNCTION)) +#define G_UINT_FUNCTION_CLASS(klass) (G_TYPE_CHECK_CLASS_CAST((klass), G_TYPE_UINT_FUNCTION, GUintFunctionClass)) +#define G_IS_UINT_FUNCTION_CLASS(klass) (G_TYPE_CHECK_CLASS_TYPE((klass), G_TYPE_UINT_FUNCTION)) +#define G_UINT_FUNCTION_GET_CLASS(obj) (G_TYPE_INSTANCE_GET_CLASS((obj), G_TYPE_UINT_FUNCTION, GUintFunctionClass)) + + +/* Fonction conduisant à la lecture d'un mot (instance) */ +typedef struct _GUintFunction GUintFunction; + +/* Fonction conduisant à la lecture d'un mot (classe) */ +typedef struct _GUintFunctionClass GUintFunctionClass; + + +/* Indique le type défini pour une lecture de mot à partir de données binaires. */ +GType g_uint_function_get_type(void); + +/* Constitue une fonction de lecture de valeur entière. */ +GScanFunction *g_uint_function_new(MemoryDataSize); + + + +#endif /* _ANALYSIS_SCAN_FUNCS_UINT_H */ |