- #10324: instalacija
[ossec-hids.git] / src / rootcheck / util / ads_dump.c
1 /* @(#) $Id: ads_dump.c,v 1.4 2009/06/24 18:53:08 dcid Exp $ */
2
3 /* Copyright (C) 2009 Trend Micro Inc.
4  * All right reserved.
5  *
6  * This program is a free software; you can redistribute it
7  * and/or modify it under the terms of the GNU General Public
8  * License (version 3) as published by the FSF - Free Software
9  * Foundation
10  */
11  
12 #include <stdio.h>
13 #include <string.h>
14 #include <sys/stat.h>
15 #include <dirent.h> 
16 #include <windows.h>
17
18
19 /* ads_dump.
20  * Dumps every NTFS ADS found in a directory (recursive)
21  */
22
23 /* Prototypes */
24 int read_sys_dir(char *dir_name);
25 int ads_found = 0;
26
27
28 /* Print out streams of a file */
29 int os_get_streams(char *full_path)
30 {
31     HANDLE file_h; 
32     WIN32_STREAM_ID sid;
33     void *context = NULL;
34
35     char stream_name[MAX_PATH +1]; 
36     char final_name[MAX_PATH +1]; 
37
38     DWORD dwRead, shs, dw1, dw2;
39
40
41     /* Opening file */
42     file_h = CreateFile(full_path, 
43             GENERIC_READ,
44             FILE_SHARE_READ,
45             NULL,
46             OPEN_EXISTING,
47             FILE_FLAG_BACKUP_SEMANTICS | FILE_FLAG_POSIX_SEMANTICS,
48             NULL);
49
50     if (file_h == INVALID_HANDLE_VALUE) 
51     { 
52         return 0;
53     }
54
55
56     /* Zeroing memory */
57     ZeroMemory(&sid, sizeof(WIN32_STREAM_ID));
58
59     /* Getting stream header size -- should be 20 bytes */
60     shs = (LPBYTE)&sid.cStreamName - (LPBYTE)&sid+ sid.dwStreamNameSize;
61
62
63     while(1)
64     {
65         if(BackupRead(file_h, (LPBYTE) &sid, shs, &dwRead, 
66                     FALSE, FALSE, &context) == 0)
67         {
68             break;
69         }
70         if(dwRead == 0)
71         {
72             break;
73         }
74
75         stream_name[0] = '\0';
76         stream_name[MAX_PATH] = '\0';
77         if(BackupRead(file_h, (LPBYTE)stream_name, 
78                     sid.dwStreamNameSize, 
79                     &dwRead, FALSE, FALSE, &context))
80         {
81             if(dwRead != 0)
82             {
83                 char *tmp_pt;
84                 snprintf(final_name, MAX_PATH, "%s%S", full_path, 
85                         (WCHAR *)stream_name);
86                 tmp_pt = strrchr(final_name, ':');
87                 if(tmp_pt)
88                 {
89                     *tmp_pt = '\0';
90                 }
91                 printf("Found NTFS ADS: '%s' \n", final_name);
92                 ads_found = 1;
93             }
94         }
95
96         /* Getting next */                      
97         if(!BackupSeek(file_h, sid.Size.LowPart, sid.Size.HighPart, 
98                     &dw1, &dw2, &context))
99         {
100             break;
101         }
102     }
103
104     CloseHandle(file_h);
105     return(0);
106 }
107
108
109 int read_sys_file(char *file_name)
110 {
111     struct stat statbuf;
112
113
114     /* Getting streams */
115     os_get_streams(file_name);
116
117     
118     if(stat(file_name, &statbuf) < 0)
119     {
120         return(0);
121     }
122
123     /* If directory, read the directory */
124     else if(S_ISDIR(statbuf.st_mode))
125     {
126         return(read_sys_dir(file_name));
127     }
128
129
130
131     return(0);
132 }
133
134
135 int read_sys_dir(char *dir_name)
136 {
137     DIR *dp;
138
139     struct dirent *entry;
140     struct stat statbuf;        
141
142
143     /* Getting the number of nodes. The total number on opendir
144      * must be the same
145      */
146     if(stat(dir_name, &statbuf) < 0)
147     {
148         return(-1);
149     }
150
151
152     /* Must be a directory */
153     if(!S_ISDIR(statbuf.st_mode))
154     {
155         return(-1);
156     }
157
158
159     /* Opening the directory given */
160     dp = opendir(dir_name);
161     if(!dp)
162     {
163         return(-1);
164     }
165
166     /* Reading every entry in the directory */
167     while((entry = readdir(dp)) != NULL)
168     {
169         char f_name[MAX_PATH +2];
170
171         /* Just ignore . and ..  */
172         if((strcmp(entry->d_name,".") == 0) ||
173                 (strcmp(entry->d_name,"..") == 0))  
174         {
175             continue;
176         }
177
178         /* Creating new file + path string */
179         snprintf(f_name, MAX_PATH +1, "%s\\%s",dir_name, entry->d_name);
180
181         read_sys_file(f_name);
182     }
183
184     closedir(dp);
185
186     return(0);
187 }
188
189
190
191 int main(int argc, char **argv)
192 {
193     printf("%s: NTFS ADS dumper (GPL v2)\n", argv[0]);
194     printf("by Daniel B. Cid - dcid at ossec.net\n\n");
195
196
197     /* Going to print every NTFS ADS found */
198     if(argc < 2)
199     {
200         printf("%s dir\n", argv[0]);
201         exit(1);
202     }
203
204
205     /* Getting streams */
206     read_sys_file(argv[1]);
207
208
209     if(ads_found == 0)
210     {
211         printf("No NTFS ADS found.\n");
212     }
213     return(0);
214 }
215 /* EOF */