/* Chrysalide - Outil d'analyse de fichiers binaires * format.c - support du format Portable Executable * * Copyright (C) 2010-2024 Cyrille Bagard * * This file is part of Chrysalide. * * Chrysalide is free software; you can redistribute it and/or modify * it under the terms of the GNU General Public License as published by * the Free Software Foundation; either version 3 of the License, or * (at your option) any later version. * * Chrysalide is distributed in the hope that it will be useful, * but WITHOUT ANY WARRANTY; without even the implied warranty of * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the * GNU General Public License for more details. * * You should have received a copy of the GNU General Public License * along with Chrysalide. If not, see . */ #include "format.h" #include #include #include "format-int.h" //#include "rich.h" //#include "symbols.h" /* ------------------------- DEFINITION D'UN NOUVEAU FORMAT ------------------------- */ /* Initialise la classe des formats d'exécutables ELF. */ static void g_pe_format_class_init(GPeFormatClass *); /* Initialise une instance de format d'exécutable ELF. */ static void g_pe_format_init(GPeFormat *); /* Supprime toutes les références externes. */ static void g_pe_format_dispose(GPeFormat *); /* Procède à la libération totale de la mémoire. */ static void g_pe_format_finalize(GPeFormat *); /* --------------------- IMPLEMENTATION DES FONCTIONS DE CLASSE --------------------- */ /* Indique la désignation interne du format. */ static char *g_pe_format_get_key(const GPeFormat *); /* Fournit une description humaine du format. */ static char *g_pe_format_get_description(const GPeFormat *); /* Assure l'interprétation d'un format en différé. */ static bool g_pe_format_analyze(GPeFormat *); /* Informe quant au boutisme utilisé. */ static SourceEndian g_pe_format_get_endianness(const GPeFormat *); /* Indique le type d'architecture visée par le format. */ static char *g_pe_format_get_target_machine(const GPeFormat *); /* Fournit l'adresse principale associée à un format. */ static bool g_pe_format_get_main_address(GPeFormat *, vmpa2t *); /* Etend la définition des portions au sein d'un binaire. */ static bool g_pe_format_refine_portions(GPeFormat *); /* Fournit l'emplacement d'une section donnée. */ static bool g_pe_format_get_section_range_by_name(const GPeFormat *, const char *, mrange_t *); /* ---------------------------------------------------------------------------------- */ /* DEFINITION D'UN NOUVEAU FORMAT */ /* ---------------------------------------------------------------------------------- */ /****************************************************************************** * * * Paramètres : content = contenu binaire à traiter. * * * * Description : Valide un contenu comme étant un format PE. * * * * Retour : - * * * * Remarques : - * * * ******************************************************************************/ bool check_pe_format(const GBinContent *content) { bool result; /* Bilan à faire remonter */ vmpa2t addr; /* Tête de lecture initiale */ char magic[4]; /* Idenfiant standard */ GPeFormat format; /* Format factice */ init_vmpa(&addr, 0, VMPA_NO_VIRTUAL); result = g_binary_content_read_raw(content, &addr, 2, (bin_t *)magic); if (result) result = (memcmp(magic, "\x4d\x5a" /* MZ */, 2) == 0); if (result) { ((GKnownFormat *)&format)->content = (GBinContent *)content; result = read_dos_image_header(&format, &format.dos_header); } if (result) { init_vmpa(&addr, format.dos_header.e_lfanew, VMPA_NO_VIRTUAL); result = g_binary_content_read_raw(content, &addr, 4, (bin_t *)magic); if (result) result = (memcmp(magic, "\x50\x45\x00\x00" /* PE00 */, 4) == 0); } return result; } /* Indique le type défini pour un format d'exécutable ELF. */ G_DEFINE_TYPE(GPeFormat, g_pe_format, G_TYPE_EXECUTABLE_FORMAT); /****************************************************************************** * * * Paramètres : klass = classe à initialiser. * * * * Description : Initialise la classe des formats d'exécutables ELF. * * * * Retour : - * * * * Remarques : - * * * ******************************************************************************/ static void g_pe_format_class_init(GPeFormatClass *klass) { GObjectClass *object; /* Autre version de la classe */ GKnownFormatClass *known; /* Version de format connu */ GProgramFormatClass *prgm; /* Version en format basique */ GExecutableFormatClass *exe; /* Version en exécutable */ object = G_OBJECT_CLASS(klass); object->dispose = (GObjectFinalizeFunc/* ! */)g_pe_format_dispose; object->finalize = (GObjectFinalizeFunc)g_pe_format_finalize; known = G_KNOWN_FORMAT_CLASS(klass); known->get_key = (known_get_key_fc)g_pe_format_get_key; known->get_desc = (known_get_desc_fc)g_pe_format_get_description; known->analyze = (known_analyze_fc)g_pe_format_analyze; prgm = G_PROGRAM_FORMAT_CLASS(klass); prgm->get_endian = (program_get_endian_fc)g_pe_format_get_endianness; prgm->get_range_by_name = (get_range_by_name_fc)g_pe_format_get_section_range_by_name; exe = G_EXECUTABLE_FORMAT_CLASS(klass); exe->get_machine = (get_target_machine_fc)g_pe_format_get_target_machine; exe->get_main_addr = (get_main_addr_fc)g_pe_format_get_main_address; exe->refine_portions = (refine_portions_fc)g_pe_format_refine_portions; exe->translate_phys = g_executable_format_translate_offset_into_vmpa_with_portions; exe->translate_virt = g_executable_format_translate_address_into_vmpa_with_portions; } /****************************************************************************** * * * Paramètres : format = instance à initialiser. * * * * Description : Initialise une instance de format d'exécutable ELF. * * * * Retour : - * * * * Remarques : - * * * ******************************************************************************/ static void g_pe_format_init(GPeFormat *format) { format->sections = NULL; format->loaded = false; } /****************************************************************************** * * * Paramètres : format = instance d'objet GLib à traiter. * * * * Description : Supprime toutes les références externes. * * * * Retour : - * * * * Remarques : - * * * ******************************************************************************/ static void g_pe_format_dispose(GPeFormat *format) { G_OBJECT_CLASS(g_pe_format_parent_class)->dispose(G_OBJECT(format)); } /****************************************************************************** * * * Paramètres : format = instance d'objet GLib à traiter. * * * * Description : Procède à la libération totale de la mémoire. * * * * Retour : - * * * * Remarques : - * * * ******************************************************************************/ static void g_pe_format_finalize(GPeFormat *format) { if (format->sections != NULL) free(format->sections); G_OBJECT_CLASS(g_pe_format_parent_class)->finalize(G_OBJECT(format)); } /****************************************************************************** * * * Paramètres : content = contenu binaire à parcourir. * * * * Description : Prend en charge un nouveau format PE. * * * * Retour : Adresse de la structure mise en place ou NULL en cas d'échec.* * * * Remarques : - * * * ******************************************************************************/ GPeFormat *g_pe_format_new(GBinContent *content) { GPeFormat *result; /* Structure à retourner */ result = g_object_new(G_TYPE_PE_FORMAT, NULL); if (!g_pe_format_create(result, content)) g_clear_object(&result); return result; } /****************************************************************************** * * * Paramètres : format = description du format connu à consulter. * * content = contenu binaire à parcourir. * * * * Description : Met en place une nouvelle instance de format PE. * * * * Retour : Bilan de l'opération. * * * * Remarques : - * * * ******************************************************************************/ bool g_pe_format_create(GPeFormat *format, GBinContent *content) { bool result; /* Bilan à retourner */ result = true;//check_pe_format(content); if (result) result = g_executable_format_create(G_EXECUTABLE_FORMAT(format), content); return result; } /****************************************************************************** * * * Paramètres : format = format en place à consulter. * * * * Description : Présente l'en-tête MS-DOS du format chargé. * * * * Retour : Pointeur vers la description principale. * * * * Remarques : - * * * ******************************************************************************/ const image_dos_header_t *g_pe_format_get_dos_header(const GPeFormat *format) { const image_dos_header_t *result; /* Informations à retourner */ result = &format->dos_header; return result; } /****************************************************************************** * * * Paramètres : format = format en place à consulter. * * * * Description : Présente l'en-tête NT du format chargé. * * * * Retour : Pointeur vers la description principale. * * * * Remarques : - * * * ******************************************************************************/ const image_nt_headers_t *g_pe_format_get_nt_headers(const GPeFormat *format) { const image_nt_headers_t *result; /* Informations à retourner */ result = &format->nt_headers; return result; } /****************************************************************************** * * * Paramètres : format = format en place à consulter. * * * * Description : Indique si le format PE est en 32 bits ou en 64 bits. * * * * Retour : true si le format est en 32 bits, false sinon. * * * * Remarques : - * * * ******************************************************************************/ bool g_pe_format_get_is_32b(const GPeFormat *format) { bool result; /* Nature à retourner */ assert(format->loaded); switch (format->nt_headers.optional_header.header_32.magic) { case IMAGE_NT_OPTIONAL_HDR32_MAGIC: result = true; break; case IMAGE_NT_OPTIONAL_HDR64_MAGIC: result = false; break; default: result = true; assert(false); break; } return result; } /****************************************************************************** * * * Paramètres : format = format en place à consulter. * * count = taille (fixe) du tableau renvoyé. [OUT] * * * * Description : Offre un raccourci vers les répertoires du format PE. * * * * Retour : Pointeur vers le tableau des répertoires. * * * * Remarques : - * * * ******************************************************************************/ const image_data_directory_t *g_pe_format_get_directories(const GPeFormat *format, size_t *count) { const image_data_directory_t *result; /* Liste à retourner */ if (g_pe_format_get_is_32b(format)) { result = format->nt_headers.optional_header.header_32.data_directory; if (count != NULL) *count = format->nt_headers.optional_header.header_32.number_of_rva_and_sizes; } else { result = format->nt_headers.optional_header.header_64.data_directory; if (count != NULL) *count = format->nt_headers.optional_header.header_64.number_of_rva_and_sizes; } return result; } /****************************************************************************** * * * Paramètres : format = format en place à consulter. * * index = indice du répertoire visé. * * * * Description : Extrait le contenu d'un répertoire du format PE. * * * * Retour : Pointeur vers un contenu chargé ou NULL. * * * * Remarques : - * * * ******************************************************************************/ void *g_pe_format_get_directory(const GPeFormat *format, size_t index) { void *result; /* Données à retourner */ size_t max; /* Quantité de répertoires */ const image_data_directory_t *dir; /* Localisation du répertoire */ vmpa2t pos; /* Tête de lecture */ bool status; /* Bilan d'un traitement */ image_export_directory_t *export; /* Répertoire de type 0 */ image_import_descriptor_t *imports; /* Répertoire de type 1 */ size_t imported_count; /* Quantité de DLL requises */ result = NULL; dir = g_pe_format_get_directories(format, &max); if (index >= max) goto exit; dir += index; status = g_executable_format_translate_address_into_vmpa(G_EXECUTABLE_FORMAT(format), dir->virtual_address, &pos); if (!status) goto exit; switch (index) { case IMAGE_DIRECTORY_ENTRY_EXPORT: export = malloc(sizeof(image_export_directory_t)); status = read_pe_image_export_directory(format, &pos, export); if (!status) { free(export); goto exit; } result = export; break; case IMAGE_DIRECTORY_ENTRY_IMPORT: imports = NULL; imported_count = 0; do { imports = realloc(imports, ++imported_count * sizeof(image_import_descriptor_t)); status = read_pe_image_import_descriptor(format, &pos, imports + (imported_count - 1)); if (!status) { free(imports); goto exit; } } while (imports[imported_count - 1].original_first_thunk != 0); result = imports; break; } exit: return result; } /****************************************************************************** * * * Paramètres : format = format en place à consulter. * * count = taille (fixe) du tableau renvoyé. [OUT] * * * * Description : Offre un raccourci vers les sections du format PE. * * * * Retour : Pointeur vers la liste des sections. * * * * Remarques : - * * * ******************************************************************************/ const image_section_header_t *g_pe_format_get_sections(const GPeFormat *format, size_t *count) { const image_section_header_t *result; /* Liste à retourner */ if (count != NULL) *count = format->nt_headers.file_header.number_of_sections; result = format->sections; return result; } /* ---------------------------------------------------------------------------------- */ /* IMPLEMENTATION DES FONCTIONS DE CLASSE */ /* ---------------------------------------------------------------------------------- */ /****************************************************************************** * * * Paramètres : format = description de l'exécutable à consulter. * * * * Description : Indique la désignation interne du format. * * * * Retour : Désignation du format. * * * * Remarques : - * * * ******************************************************************************/ static char *g_pe_format_get_key(const GPeFormat *format) { char *result; /* Désignation à retourner */ result = strdup("pe"); return result; } /****************************************************************************** * * * Paramètres : format = description de l'exécutable à consulter. * * * * Description : Fournit une description humaine du format. * * * * Retour : Description du format. * * * * Remarques : - * * * ******************************************************************************/ static char *g_pe_format_get_description(const GPeFormat *format) { char *result; /* Désignation à retourner */ result = strdup("Portable Executable"); return result; } /****************************************************************************** * * * Paramètres : format = format chargé dont l'analyse est lancée. * * * * Description : Assure l'interprétation d'un format en différé. * * * * Retour : Bilan de l'opération. * * * * Remarques : - * * * ******************************************************************************/ static bool g_pe_format_analyze(GPeFormat *format) { bool result; /* Bilan à retourner */ vmpa2t start; /* Zone de départ des sections */ uint16_t count; /* Quantité de sections */ uint16_t i; /* Boucle de parcours */ result = read_dos_image_header(format, &format->dos_header); if (!result) goto error; result = read_pe_nt_header(format, &format->nt_headers, &start); if (!result) goto error; /* Chargement des définitions des sections déclarées */ copy_vmpa(&format->sections_start, &start); count = format->nt_headers.file_header.number_of_sections; format->sections = malloc(count * sizeof(image_section_header_t)); for (i = 0; i < count; i++) { result = read_pe_image_section_header(format, &start, &format->sections[i]); if (!result) goto error; } /* Passage de relais */ if (result) result = G_KNOWN_FORMAT_CLASS(g_pe_format_parent_class)->analyze(G_KNOWN_FORMAT(format)); #if 0 extract_pe_rich_header(format); result = load_pe_symbols(format, gid, status); if (!result) goto error; #endif error: return result; } /****************************************************************************** * * * Paramètres : format = informations chargées à consulter. * * * * Description : Informe quant au boutisme utilisé. * * * * Retour : Indicateur de boutisme. * * * * Remarques : - * * * ******************************************************************************/ static SourceEndian g_pe_format_get_endianness(const GPeFormat *format) { SourceEndian result; /* Boutisme à retourner */ /** * Sauf exception, le boutisme est généralement petit. * * Cf. https://reverseengineering.stackexchange.com/a/17923 * https://docs.microsoft.com/en-us/cpp/build/overview-of-arm-abi-conventions?view=msvc-160#endianness */ result = SRE_LITTLE; return result; } /****************************************************************************** * * * Paramètres : format = description de l'exécutable à consulter. * * name = nom de la section recherchée. * * range = emplacement en mémoire à renseigner. [OUT] * * * * Description : Fournit l'emplacement d'une section donnée. * * * * Retour : Bilan de l'opération. * * * * Remarques : - * * * ******************************************************************************/ static bool g_pe_format_get_section_range_by_name(const GPeFormat *format, const char *name, mrange_t *range) { bool result; /* Bilan à retourner */ uint16_t i; /* Boucle de parcours */ image_section_header_t *section; /* Section à traiter */ char tmp[IMAGE_SIZEOF_SHORT_NAME + 1]; /* Nom de la section */ vmpa2t addr; /* Emplacement dans le binaire */ result = false; for (i = 0, section = format->sections; i < format->nt_headers.file_header.number_of_sections; i++, section++) { memcpy(tmp, section->name, IMAGE_SIZEOF_SHORT_NAME); tmp[IMAGE_SIZEOF_SHORT_NAME] = '\0'; if (strcmp(name, tmp) != 0) continue; init_vmpa(&addr, section->pointer_to_raw_data, section->virtual_address); init_mrange(range, &addr, section->size_of_raw_data); result = true; break; } return result; } /****************************************************************************** * * * Paramètres : format = informations chargées à consulter. * * * * Description : Indique le type d'architecture visée par le format. * * * * Retour : Identifiant de l'architecture ciblée par le format. * * * * Remarques : - * * * ******************************************************************************/ static char *g_pe_format_get_target_machine(const GPeFormat *format) { char *result; /* Identifiant à retourner */ switch (format->nt_headers.file_header.machine) { case IMAGE_FILE_MACHINE_I386: result = strdup("i386"); break; case IMAGE_FILE_MACHINE_R3000: case IMAGE_FILE_MACHINE_R4000: case IMAGE_FILE_MACHINE_R10000: case IMAGE_FILE_MACHINE_WCEMIPSV2: case IMAGE_FILE_MACHINE_MIPS16: case IMAGE_FILE_MACHINE_MIPSFPU: case IMAGE_FILE_MACHINE_MIPSFPU16: result = strdup("mips"); break; case IMAGE_FILE_MACHINE_ARM: case IMAGE_FILE_MACHINE_THUMB: case IMAGE_FILE_MACHINE_ARMNT: result = strdup("armv7"); break; case IMAGE_FILE_MACHINE_UNKNOWN: default: result = NULL; break; } return result; } /****************************************************************************** * * * Paramètres : format = description de l'exécutable à consulter. * * addr = adresse principale trouvée si possible. [OUT] * * * * Description : Fournit l'adresse principale associée à un format. * * * * Retour : Bilan des recherches. * * * * Remarques : - * * * ******************************************************************************/ static bool g_pe_format_get_main_address(GPeFormat *format, vmpa2t *addr) { bool result; /* Bilan à retourner */ virt_t ep; /* Point d'entrée */ if (g_pe_format_get_is_32b(format)) ep = format->nt_headers.optional_header.header_32.address_of_entry_point; else ep = format->nt_headers.optional_header.header_64.address_of_entry_point; result = g_executable_format_translate_address_into_vmpa(G_EXECUTABLE_FORMAT(format), ep, addr); return result; } /****************************************************************************** * * * Paramètres : format = informations chargées à consulter. * * * * Description : Etend la définition des portions au sein d'un binaire. * * * * Retour : Bilan des définitions de portions. * * * * Remarques : - * * * ******************************************************************************/ static bool g_pe_format_refine_portions(GPeFormat *format) { bool result; /* Bilan à retourner */ vmpa2t origin; /* Origine d'une définition */ uint16_t i; /* Boucle de parcours */ image_section_header_t *section; /* Section à traiter */ vmpa2t addr; /* Emplacement dans le binaire */ GBinaryPortion *portion; /* Nouvelle portion de binaire */ char name[IMAGE_SIZEOF_SHORT_NAME + 1]; /* Nom de la section */ PortionAccessRights rights; /* Droits d'accès à la section */ result = true; copy_vmpa(&origin, &format->sections_start); for (i = 0, section = format->sections; i < format->nt_headers.file_header.number_of_sections; i++, section++) { if (section->pointer_to_raw_data == 0) continue; /* Emplacement */ init_vmpa(&addr, section->pointer_to_raw_data, section->virtual_address); portion = g_binary_portion_new(&addr, section->size_of_raw_data); /* Nom */ memcpy(name, section->name, IMAGE_SIZEOF_SHORT_NAME); name[IMAGE_SIZEOF_SHORT_NAME] = '\0'; g_binary_portion_set_desc(portion, name); /* Droits d'accès */ rights = PAC_NONE; if (section->characteristics & IMAGE_SCN_MEM_EXECUTE) rights |= PAC_EXEC; if (section->characteristics & IMAGE_SCN_MEM_READ) rights |= PAC_READ; if (section->characteristics & IMAGE_SCN_MEM_WRITE) rights |= PAC_WRITE; g_binary_portion_set_rights(portion, rights); /* Inclusion finale */ result = g_executable_format_include_portion(G_EXECUTABLE_FORMAT(format), portion, &origin); unref_object(portion); if (!result) break; advance_vmpa(&origin, sizeof(image_section_header_t)); } return result; }