PE--资源表

最新推荐文章于 2022-05-01 00:53:49 发布
最新推荐文章于 2022-05-01 00:53:49 发布
阅读量499 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31694351/article/details/51485977
版权

本来该用递归来写的,奈何总是写不出来,所以写了一个遍历3层结构的程序。以后来写递归的
这里写图片描述
这里写图片描述

VOID _GetResourceInfo1(PVOID pFileBuffer)
{
    PIMAGE_DOS_HEADER pDosHeader = NULL;
    PIMAGE_NT_HEADERS pNtHeaders = NULL;

    PIMAGE_RESOURCE_DIRECTORY_ENTRY pResDirEntry1=NULL;
    PIMAGE_RESOURCE_DIRECTORY_ENTRY pResDirEntry2=NULL;
    PIMAGE_RESOURCE_DIRECTORY_ENTRY pResDirEntry3=NULL;
    PIMAGE_RESOURCE_DIRECTORY pResDir1=NULL;
    PIMAGE_RESOURCE_DIRECTORY pResDir2=NULL;
    PIMAGE_RESOURCE_DIRECTORY pResDir3=NULL;
    PIMAGE_RESOURCE_DIR_STRING_U pUStr=NULL;

    PIMAGE_RESOURCE_DATA_ENTRY pResDataEntry=NULL;

    DWORD dwUncodeAddr=0;
    BYTE szBuffer[1024]={0};
    BYTE szResName[256]={0};

    DWORD dwResourceAddr=0;
    DWORD dwSize,dwSize2,dwSize3;

    pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer;
    if (pDosHeader->e_magic != IMAGE_DOS_SIGNATURE)
    {
        printf("not a mz header!\n");
        return ;
    }
    pNtHeaders = (PIMAGE_NT_HEADERS)((DWORD)pDosHeader + pDosHeader->e_lfanew);
    if (pNtHeaders->Signature != IMAGE_NT_SIGNATURE)
    {
        printf("not a PE header!\n");
        return ;
    }

    //资源表在文件中的偏移
    dwResourceAddr=(DWORD)pFileBuffer+_RVAToOffset(pFileBuffer,pNtHeaders->OptionalHeader.DataDirectory[2].VirtualAddress);

    //第一层
    pResDir1=(PIMAGE_RESOURCE_DIRECTORY)dwResourceAddr;
    pResDirEntry1=(PIMAGE_RESOURCE_DIRECTORY_ENTRY)((DWORD)pResDir1+sizeof(IMAGE_RESOURCE_DIRECTORY));
    dwSize=pResDir1->NumberOfIdEntries+pResDir1->NumberOfNamedEntries;
    for(int i=0;i<dwSize;i++)
    {
        //第一层的name
        if(pResDirEntry1->NameIsString)
        {
            //用户自定义的资源类别
            pUStr=(PIMAGE_RESOURCE_DIR_STRING_U)(dwResourceAddr+pResDirEntry1->NameOffset);
            //跳过两字节,就是存储的名字地址。详见IMAGE_RESOURCE_DIR_STRING_U结构
            dwUncodeAddr=(DWORD)pUStr+2;
            //将UNICODE字符转换成多字节字符
            memset(szResName,0,sizeof(szResName));
            WideCharToMultiByte(CP_ACP,WC_COMPOSITECHECK,(LPCWSTR)dwUncodeAddr,pUStr->Length,(char *)szResName,sizeof(szResName),NULL,NULL);
            printf("类型:%s\n",szResName);
            printf("-----------------------------------------\n");
        }
        else
        {
            //系统内定义的资源编号
            switch(pResDirEntry1->Id)
                {
                    case 1: printf("类型:光标\n");break;
                    case 2: printf("类型:位图\n");break;
                    case 3: printf("类型:图标\n");break;
                    case 4: printf("类型:菜单\n");break;
                    case 5: printf("类型:对话框\n");break;
                    case 6: printf("类型:字符串\n");break;
                    case 7: printf("类型:字体目录\n");break;
                    case 8: printf("类型:字体\n");break;
                    case 9: printf("类型:加速键\n");break;
                    case 0x0a: printf("类型:未格式化资源\n");break;
                    case 0x0b: printf("类型:消息表\n");break;
                    case 0x0c: printf("类型:光标组\n");break;
                    case 0x0d: printf("类型:图标组\n");break;
                    case 0x0e: printf("类型:版本信息\n");break;
                    default:
                        printf("类型: %x\n",pResDirEntry1->Id);
                        break;
                }
            printf("--------------------------------------------\n");
        }

        //第一层的offset //指向dir_entry
        if(pResDirEntry1->DataIsDirectory)
        {
            //第二层的结构
            pResDir2=(PIMAGE_RESOURCE_DIRECTORY)(dwResourceAddr+pResDirEntry1->OffsetToDirectory);
            pResDirEntry2=(PIMAGE_RESOURCE_DIRECTORY_ENTRY)((DWORD)pResDir2+sizeof(IMAGE_RESOURCE_DIRECTORY));
            dwSize2=pResDir2->NumberOfIdEntries+pResDir2->NumberOfNamedEntries;
            for(int j=0;j<dwSize2;j++)
            {
                //name 如果以字符作为ID
                if(pResDirEntry2->NameIsString)
                {
                    pUStr=(PIMAGE_RESOURCE_DIR_STRING_U)(dwResourceAddr+pResDirEntry2->NameOffset);
                    dwUncodeAddr=(DWORD)pUStr+2;
                    memset(szResName,0,sizeof(szResName));
                    WideCharToMultiByte(CP_ACP,WC_COMPOSITECHECK,(LPCWSTR)dwUncodeAddr,pUStr->Length,(char *)szResName,sizeof(szResName),NULL,NULL);
                    printf("ID:%s\n",szResName);
                }
                else
                {
                    printf("ID: %d\n",pResDirEntry2->Id);
                }

                //offset项
                if(pResDirEntry2->DataIsDirectory)
                {
                    //第三层的结构
                    pResDir3=(PIMAGE_RESOURCE_DIRECTORY)(dwResourceAddr+pResDirEntry2->OffsetToDirectory);
                    pResDirEntry3=(PIMAGE_RESOURCE_DIRECTORY_ENTRY)((DWORD)pResDir3+sizeof(IMAGE_RESOURCE_DIRECTORY));
                    dwSize3=pResDir3->NumberOfIdEntries+pResDir3->NumberOfNamedEntries;
                    for(int k=0;k<dwSize3;k++)
                    {
                        //name指向的是代码页的编号,一般都为2056简体中文。这里省略
                        //offset
                        if(pResDirEntry3->DataIsDirectory==0)
                        {
                            pResDataEntry=(PIMAGE_RESOURCE_DATA_ENTRY)(dwResourceAddr+pResDirEntry3->OffsetToDirectory);
                            printf("偏移:0x%x   大小:0x%x\n",pResDataEntry->OffsetToData,pResDataEntry->Size);
                        }
                        else
                        {

                        }
                        pResDirEntry3++;
                    }
                }
                pResDirEntry2++;
            }
        }
        else
        {
            //第一层一般都是等于1的
        }
        pResDirEntry1++;
    }
}
qq_31694351
关注
专栏目录
PE文件资源
甜筒八部 的专栏
04-07 581
这里的RVA我们可以定位到资源的位置 资源定义 Windows 将程序的各种界面定义为资源,包括加速键(Accelerator)、位图(Bitmap)、光标(Cursor)、对话框(Dialog Box)、图标(Icon)、菜单(Menu)、串(String Table)、工具栏(Toolbar)和版本信息(Version Information)等。 资源有很多种类型,每种类型的资源中可能存在多个资源项,这些资源项,用不同的ID 或名称来区分。但是,要将这么多种类型的不同ID ...
WIN32汇编语言程序设计——查看PE资源
最新发布
evagenius的博客
03-29 332
这么多种类型的不同ID的资源是用类似于磁盘目录结构的方式组织起来的。也就是按照根目录→资源类型→资源ID的3层树型目录结构来组织资源,只不过在第3层目录中放置的代码页“文件”不是资源本身而是一个用来描述资源的结构罢了,通过这个结构中的指针才能最后找到资源数据。PE文件资源中的内容包括光标、图标、位图、菜单等十几种标准的类型,除此之外,还可以使用自定义的类型。每种类型的资源中可能存在多个资源项,这些资源项用不同的ID或者名称来分辨,在某个资源ID下,还可以同时存在不同代码页的版本。
PE-资源
megaparsec
12-19 1887
PE资源 PE中的相关资源可以通过程序进行深度定位,所获取的二进制字节码与资源脚本语句之间是一一对应的这些数据可能是源代码内部需要用到的常景,比如 菜单选项、界面描述等;也可能是源代码外部的,比如程序的图标文件、背景音乐文件、配置 文件等,以上这些数据统称为资源
PE 资源
不会写代码的丝丽
05-01 724
前言 我们在window开发中需要很多资源比如ico和accelerator,dialog这些资源都被存放在PE文件的.rsrc节中。 首先我们需要明白PE存储方式才好解析: 首先是三个三级目录最后才是真正的资源,其中第三个目录使用LCID进行区分地区.具体参阅 谈谈Windows程序中的字符编码 //winnt.h #define IMAGE_DIRECTORY_ENTRY_RESOURCE 2 // Resource Directory 我们举例某个工程 你可以看到这个工程有两个
PE资源分析
01-08
PE资源分析,用于分析可执行文件里的资源。不要分,只为共享。
SEUS-PE-v10.1-low_SEUS-PE-v10.1-low_SEUSPE_seuspeshader_SHADER_s
10-01
标题中的"SEUS-PE-v10.1-low"指的是"SEUS for Pocket Edition"的低光照版本,这是一个为Minecraft Bedrock Edition(MCPE)设计的光影效果模组。"SEUS"全称为"Stunning Environment and Universal Shaders",是由...
CheckPE.rar_Pe-file_infector_pe
09-22
从标签"pe-file_infector pe"我们可以进一步推测,内容将深入到PE文件的结构,特别是那些被恶意代码利用的部分,如节区(section)、导入(Import Table)、出口(Export Table)等,这些是恶意软件常篡改的地方...
checkPE.rar_Pe-file_infector_pe
09-22
深入探讨一下,PE文件结构包含了许多重要的部分,如DOS头、NT头、节区、导入/导出资源等。checkPE程序可能检查以下内容: 1. **DOS头**:这是PE文件的起点,包含了一个简短的DOS程序,允许在不支持PE格式的...
PE-Scan v3查壳工具
01-23
3. **PE信息分析(PEp)**:PE-Scan v3还能提供有关PE文件格式的详细信息,如节区、导出和导入函数、资源等,这些信息对于理解程序结构和功能很有帮助。 4. **高级扫描模式**:针对未知或复杂壳,PE-Scan v3的...
OEP.rar_OEP_Pe-file_infector
09-24
PE文件OEP(入口点)获取与分析》 在Windows操作系统中,PE(Portable Executable)文件格式是用于存储可执行程序、动态链接库(DLL)和其他类型模块...对于想要深入理解和利用PE文件的人来说,这是一个宝贵的资源
PE资源查看工具 最好用
12-17
详细的 PE文件头信息、资源、数据目录,可编辑重定位信息,资源,等,支持修改后保存
pe文件解析:读取pe信息获取文件资源(源码)
03-01
读取pe信息获取文件资源 vc编写 不够长
PE获取导出 导入 资源 重定位
11-30
使用VS2012 编写 DLL封装函数PE结构的操作 win32 控制台程序调用并显示 函数原型 typedef PIMAGE_SECTION_HEADER (*GetSectionHead) (PIMAGE_NT_HEADERS NtHead); typedef PIMAGE_IMPORT_DESCRIPTOR (*GetImportHead) (LPVOID iBase,PIMAGE_NT_HEADERS NtHead); typedef int* (*GetAllImportDll) (LPVOID iBase,PIMAGE_NT_HEADERS NtHead,int Index); typedef int (*GetimportDllCount) (LPVOID iBase,PIMAGE_NT_HEADERS Nthead); typedef VOID (*GetImportDllName) (LPVOID iBase,PIMAGE_NT_HEADERS NtHead,char ** NameAddr); typedef int ** (*GetImportDllAddress) (LPVOID iBase,PIMAGE_NT_HEADERS NtHead); typedef PIMAGE_THUNK_DATA (*GetImportThunkHead)(LPVOID iBase,PIMAGE_NT_HEADERS NtHead,int Index); typedef char ** (*GetImportDllFuncName)(LPVOID iBase,PIMAGE_NT_HEADERS NtHead,int Index,int Count); typedef int (*GetImportDllNameCount)(LPVOID iBase,PIMAGE_NT_HEADERS NtHead,int Index); 详细代码 新手学习必备!
PE文件资源修改工具包
09-03
PE文件资源修改工具,可修改PE文件的各种资源:字符串、图片等。含有使用Resource Hacker工具
PE结构】资源
SMOne
06-27 2996
一、前言 二、PE整体结构 三、DOS头 四、NT头 五、区段头 六、导出 七、导入 八、资源 九、其他 1.概念 程序中通常包含图片、菜单、控件、不同样式的文本等多种多样的内容。 这些内容或界面元素,都以二进制的形式保存在PE文件中。 这些数据保存的位置,就是PE文件的资源段(.rsrc) 这些数据的组织格式,我们成为资源 2.资源定...
PE格式第九讲,资源解析
weixin_30433075的博客
10-23 223
        PE格式第九讲,资源解析 一丶熟悉Windows管理文件的方法 首先,为什么标题是这个,主要是为了下边讲解资源方便,因为资源结构体很乱.如果直接拿出来讲解,那么就会很晕. 1.windows管理文件方法 树形结构 可以看出结构 根目录   子目录     文件.xxx   子目录     子目录 (子目录里面还可以有文件夹)   .....     那...
PE文件分析-资源
m0_48995611的博客
07-05 338
时间:202106 资源 DESC: 记录PE文件中的资源信息。 RVA: IMAGE_DATA_DIRECTORY[2].VirtualAddress。 资源包括 Cursor, Bitmap, Icon, Menu, Dialog, String, Accelerator 等预定义的资源类型和自定义的资源类型, 不同资源类型用 ID 区分。 预定义资源类型ID 描述 1 Cursor 2 Bitmap Resource 3 Icon 4 Menu Resource
Windows PE资源编程(枚举资源树)
天使也掉毛
02-08 2172
资源枚举     写一个例子,枚举一个PE文件的资源。首先说下资源相关的作为铺垫。 1.资源类型也是PE可选头中数据目录的一种。位于第三个类型。 2.资源目录分为三层。第四层是描述文件相关的。这些结构是按照二叉排序树的结构存的。每一个节点都可以看成是一段连续的数据块(1个资源目录头+n个资源目录项)。 3.整体基本结构: OK,基础知识就简单说这些。如果还是
PE总结15--PE文件结构之 解析资源
oBuYiSeng的博客
12-11 731
// helloworld1.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include DWORD RVA2OffSet(DWORD dwRVA, PIMAGE_NT_HEADERS32 pNt) { DWORD dwOffset = 0; // 1. 获取第一个区段结构体 PIMAGE_SECTION_HEADER
如何解析PE文件的资源
03-12
作为一个类 ChatGPT 的 AI,我可以告诉您,解析 PE 文件的资源可以使用一些专门的工具,例如 Resource Hacker、PE Explorer 等。这些工具可以帮助您查看 PE 文件中的资源,包括资源类型、资源名称、资源大小等...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值