ccrawl

Ccrawl 使用clang 建立與各種C/C++ 資料結構（結構、聯合、類別、枚舉、typedef、原型和巨集）相關的資料庫，它允許透過查詢該資料庫的特定屬性（包括屬性）來識別資料類型和常數/巨集與結構/類別記憶體佈局相關。

基本上它允許例如

• 「找到所有在偏移量 8 處具有指向 char 的指標和在偏移量 56 處具有無符號整數的所有結構？
• “查找總大小為 96 位元組的類型？”或者
• “找到定義值 0x1234 的每個巨集？”或者
• “從枚舉 X 中找到與 0xabcd 對應的值的遮罩？”
• “找到所有返回‘size_t’並以‘struct X’作為第一個參數的函數？”

然後，Ccrawl 允許以多種格式輸出找到的結構：當然是 C/C++，還有 ctypes 或 amoco。 C++ 類別的 ctypes 輸出對應於記憶體中的實例（物件）佈局，包括可能由多個父（可能是虛擬）類別產生的所有虛擬表指標（或 VTT）。

最後，Ccrawl 允許計算有關庫 API 的各種統計信息，並允許計算任何給定類型的依賴關係圖，例如（請參閱tests/samples/xxx/graph.h）：

使用者文件和 API 可以在 http://ccrawl.readthedocs.io/en/latest/index.html 找到

考慮檔案範例/simple.h中的以下 C 結構

結構體S{
  字元c；
  整數n；
  聯盟{
    無符號字元x[2]；
    無符號短 s；
  } 你；
  char (*PtrCharArrayOf3[2])[3];
  無效（*pfunc）（int，int）；
};

首先，收集本地資料庫中的結構定義：

 $ ccrawl -l test.db -g 'test0' 收集樣本/simple.h
[100%] 簡單.h [ 2]
-------------------------------------------------- ------------------
正在儲存資料庫...[2]

然後，可以將完整結構翻譯為 ctypes

 $ ccrawl -l test.db show -r -f ctypes 'struct S'
struct_S = 類型('struct_S',(結構,),{})
union_b0eccf67 = 類型('union_b0eccf67',(Union,),{})
union_b0eccf67._fields_ = [("x", c_ubyte*2),
                           （“s”，c_ushort）]

struct_S._anonymous_ = ("u",)
struct_S._fields_ = [("c", c_byte),
                     （“n”，c_int），
                     （“u”，union_b0eccf67），
                     ("PtrCharArrayOf3", POINTER(c_byte*3)*2),
                     ("pfunc", POINTER(CFUNCTYPE(無, c_int, c_int)))]

或者只是計算字段偏移量

$ ccrawl -l test.db info 'struct S'
標識符：結構S
類：cStruct
資料來源：simple.h
標籤： 測試0
尺寸：40
偏移量 : [(0, 1), (4, 4), (8, 2), (16, 16), (32, 8)]

現在讓我們處理一個更棘手的 C++ 範例：

 $ ccrawl -l test.db 收集 -a --cxx 樣本/shahar.cpp
[100%] 沙哈爾.cpp [ 18]
-------------------------------------------------- ------------------
正在儲存資料庫... [ 18]

我們可以顯示一個類別的完整（遞歸）定義：

 $ ccrawl -l test.db show -r 'class Child'
祖父母類{
  民眾：
    虛擬無效grandparent_foo();
    int 祖父母資料；
};

類別 Parent1 ：虛擬公共祖父母 {
  民眾：
    虛擬無效parent1_foo();
    intparent1_data；
};
類別 Parent2 ：虛擬公共祖父母 {
  民眾：
    虛擬無效parent2_foo();
    intparent2_data；
};

子類別：公共Parent1，公共Parent2 {
  民眾：
    虛擬無效child_foo();
    int 子資料；
};

及其ctypes記憶體佈局：

 $ ccrawl -l test.db show -f ctypes 'class Child'
struct___layout$Child = 類型('struct___layout$Child',(Structure,),{})

struct___layout$Child._fields_ = [("__vptr$Parent1", c_void_p),
                                  （“parent1_data”，c_int），
                                  ("__vptr$Parent2", c_void_p),
                                  （“parent2_data”，c_int），
                                  （“child_data”，c_int），
                                  ("__vptr$祖父母", c_void_p),
                                  （“祖父母資料”，c_int）]

請參閱文件以取得更多範例。

• 改進 C++ 支援（其他佈局）
• 新增網路前端
• IDA Pro 插件

• v1.10
  • 新增轉換命令以將一些 C 輸入（來自標準輸入）轉換為其他支援的格式
  • 更新外部 ghidra 介面以與 Ghidra 10.4 (DEV) 一起使用
  • 新增函數來對 gdbserver 產生的追蹤檔案中的 Ghidra 清單進行著色。
  • 允許收集更多檔案副檔名（又稱 .C、.H、.i）
• v1.9
  • 添加主要預處理功能以改善收集命令
  • 新增匯出命令以在 Ghidra 中發送類型定義
  • 使用 FreeRTOS 範例更新和改進文檔
  • 在 ghidra 擴充模組中加入“find_function_with_type”
• v1.8
  • 新增 graph 指令以輸出（以點格式）給定根結構的依賴關係圖
  • 在 stats 命令中新增 --structs 選項，嘗試建構結構並報告遺失的引用
  • 在 mongodb 代理類別中新增 find_calls_to 方法以報告從函數體收集的“呼叫”
  • 將 amoco.system.structs 新增至 ccrawl.core 轉換器
  • 修復“struct volatile”的情況（libclang-14）
  • 修正了對 ext.ghidra 中具有未命名字段的位元字段結構的支持
• v1.7
  • 可選擇解析函數的主體並使用解析的資訊更新“cFunc”描述
  • 新增同步命令以從重建的本機資料庫更新 mongodb 遠端資料庫
  • 改進 Ghidra 的介面來偵測結構
  • 新增指標大小選項來計算結構的欄位偏移量
  • 修正：將枚舉大小調整為所需的最小大小
  • 修正：將全域標籤過濾器套用於對 ProxyDB 的所有查詢
  • 更新到 libclang-14
• v1.6
  • 新增外部介面以將類型匯出到 Ghidra 的資料類型管理器中
  • 新增 find_matching_types 來複製 Ghidra 的「auto_struct」指令
  • 新增資料庫清理方法
• v1.5
  • 更新 libclang-12 的程式碼（使用 python3-clang）
  • 更新到tinydb v4.x
• v1.4
  • 更新 libclang-10 的程式碼（使用 python3-clang）
  • 改進位域支持
• v1.3
  • 新增基於 Flask 的 REST API 和伺服器命令
  • 支援mongodb資料庫後端
  • 支援本機tinydb資料庫
  • C/C++ 類型的 c_type 和 cxx_type 解析器
  • 支援 C 結構/聯合中的匿名類型
  • 支援C++多重繼承，包括虛擬父級
  • 對 C++ 類別和函數模板的基本支持
  • 支援位域結構
  • 支援使用者定義的對齊策略