- add fortify to lintian
[ossec-hids.git] / src / rootcheck / util / ads_dump.c
1 /* @(#) $Id: ./src/rootcheck/util/ads_dump.c, 2011/09/08 dcid Exp $
2  */
3
4 /* Copyright (C) 2009 Trend Micro Inc.
5  * All right reserved.
6  *
7  * This program is a free software; you can redistribute it
8  * and/or modify it under the terms of the GNU General Public
9  * License (version 2) as published by the FSF - Free Software
10  * Foundation
11  */
12
13 #include <stdio.h>
14 #include <string.h>
15 #include <sys/stat.h>
16 #include <dirent.h>
17 #include <windows.h>
18
19
20 /* ads_dump.
21  * Dumps every NTFS ADS found in a directory (recursive)
22  */
23
24 /* Prototypes */
25 int read_sys_dir(char *dir_name);
26 int ads_found = 0;
27
28
29 /* Print out streams of a file */
30 int os_get_streams(char *full_path)
31 {
32     HANDLE file_h;
33     WIN32_STREAM_ID sid;
34     void *context = NULL;
35
36     char stream_name[MAX_PATH +1];
37     char final_name[MAX_PATH +1];
38
39     DWORD dwRead, shs, dw1, dw2;
40
41
42     /* Opening file */
43     file_h = CreateFile(full_path,
44             GENERIC_READ,
45             FILE_SHARE_READ,
46             NULL,
47             OPEN_EXISTING,
48             FILE_FLAG_BACKUP_SEMANTICS | FILE_FLAG_POSIX_SEMANTICS,
49             NULL);
50
51     if (file_h == INVALID_HANDLE_VALUE)
52     {
53         return 0;
54     }
55
56
57     /* Zeroing memory */
58     ZeroMemory(&sid, sizeof(WIN32_STREAM_ID));
59
60     /* Getting stream header size -- should be 20 bytes */
61     shs = (LPBYTE)&sid.cStreamName - (LPBYTE)&sid+ sid.dwStreamNameSize;
62
63
64     while(1)
65     {
66         if(BackupRead(file_h, (LPBYTE) &sid, shs, &dwRead,
67                     FALSE, FALSE, &context) == 0)
68         {
69             break;
70         }
71         if(dwRead == 0)
72         {
73             break;
74         }
75
76         stream_name[0] = '\0';
77         stream_name[MAX_PATH] = '\0';
78         if(BackupRead(file_h, (LPBYTE)stream_name,
79                     sid.dwStreamNameSize,
80                     &dwRead, FALSE, FALSE, &context))
81         {
82             if(dwRead != 0)
83             {
84                 char *tmp_pt;
85                 snprintf(final_name, MAX_PATH, "%s%S", full_path,
86                         (WCHAR *)stream_name);
87                 tmp_pt = strrchr(final_name, ':');
88                 if(tmp_pt)
89                 {
90                     *tmp_pt = '\0';
91                 }
92                 printf("Found NTFS ADS: '%s' \n", final_name);
93                 ads_found = 1;
94             }
95         }
96
97         /* Getting next */                      
98         if(!BackupSeek(file_h, sid.Size.LowPart, sid.Size.HighPart,
99                     &dw1, &dw2, &context))
100         {
101             break;
102         }
103     }
104
105     CloseHandle(file_h);
106     return(0);
107 }
108
109
110 int read_sys_file(char *file_name)
111 {
112     struct stat statbuf;
113
114
115     /* Getting streams */
116     os_get_streams(file_name);
117
118
119     if(stat(file_name, &statbuf) < 0)
120     {
121         return(0);
122     }
123
124     /* If directory, read the directory */
125     else if(S_ISDIR(statbuf.st_mode))
126     {
127         return(read_sys_dir(file_name));
128     }
129
130
131
132     return(0);
133 }
134
135
136 int read_sys_dir(char *dir_name)
137 {
138     DIR *dp;
139
140     struct dirent *entry;
141     struct stat statbuf;        
142
143
144     /* Getting the number of nodes. The total number on opendir
145      * must be the same
146      */
147     if(stat(dir_name, &statbuf) < 0)
148     {
149         return(-1);
150     }
151
152
153     /* Must be a directory */
154     if(!S_ISDIR(statbuf.st_mode))
155     {
156         return(-1);
157     }
158
159
160     /* Opening the directory given */
161     dp = opendir(dir_name);
162     if(!dp)
163     {
164         return(-1);
165     }
166
167     /* Reading every entry in the directory */
168     while((entry = readdir(dp)) != NULL)
169     {
170         char f_name[MAX_PATH +2];
171
172         /* Just ignore . and ..  */
173         if((strcmp(entry->d_name,".") == 0) ||
174                 (strcmp(entry->d_name,"..") == 0))
175         {
176             continue;
177         }
178
179         /* Creating new file + path string */
180         snprintf(f_name, MAX_PATH +1, "%s\\%s",dir_name, entry->d_name);
181
182         read_sys_file(f_name);
183     }
184
185     closedir(dp);
186
187     return(0);
188 }
189
190
191
192 int main(int argc, char **argv)
193 {
194     printf("%s: NTFS ADS dumper (GPL v2)\n", argv[0]);
195     printf("by Daniel B. Cid - dcid at ossec.net\n\n");
196
197
198     /* Going to print every NTFS ADS found */
199     if(argc < 2)
200     {
201         printf("%s dir\n", argv[0]);
202         exit(1);
203     }
204
205
206     /* Getting streams */
207     read_sys_file(argv[1]);
208
209
210     if(ads_found == 0)
211     {
212         printf("No NTFS ADS found.\n");
213     }
214     return(0);
215 }
216 /* EOF */