【EXE PE】.rsrc 节与 resource table

最新推荐文章于 2023-09-20 11:26:16 发布

zfpigpig

最新推荐文章于 2023-09-20 11:26:16 发布

阅读量4.4k

点赞数 1

分类专栏： pe 文章标签： pe

pe 专栏收录该内容

3 篇文章 0 订阅

订阅专栏

原文地址http://www.mouseos.com/windows/PE_image5.html

PE 文件所有使用的 resource table 非常复杂，一个典型的 windows GUI 应用程序普遍都使用到了 7 个左右的资源。

1. windows 中的资源

在 WinUser.h 文件里定义了 windows 中所使用的全部资源：

/*
* Predefined Resource Types
*/
#define RT_CURSOR           MAKEINTRESOURCE(1)
#define RT_BITMAP           MAKEINTRESOURCE(2)
#define RT_ICON             MAKEINTRESOURCE(3)
#define RT_MENU             MAKEINTRESOURCE(4)
#define RT_DIALOG           MAKEINTRESOURCE(5)
#define RT_STRING           MAKEINTRESOURCE(6)
#define RT_FONTDIR          MAKEINTRESOURCE(7)
#define RT_FONT             MAKEINTRESOURCE(8)
#define RT_ACCELERATOR      MAKEINTRESOURCE(9)
#define RT_RCDATA           MAKEINTRESOURCE(10)
#define RT_MESSAGETABLE     MAKEINTRESOURCE(11)

#define DIFFERENCE     11
#define RT_GROUP_CURSOR MAKEINTRESOURCE((ULONG_PTR)(RT_CURSOR) + DIFFERENCE)
#define RT_GROUP_ICON   MAKEINTRESOURCE((ULONG_PTR)(RT_ICON) + DIFFERENCE)
#define RT_VERSION      MAKEINTRESOURCE(16)
#define RT_DLGINCLUDE   MAKEINTRESOURCE(17)
#if(WINVER >= 0x0400)
#define RT_PLUGPLAY     MAKEINTRESOURCE(19)
#define RT_VXD          MAKEINTRESOURCE(20)
#define RT_ANICURSOR    MAKEINTRESOURCE(21)
#define RT_ANIICON      MAKEINTRESOURCE(22)
#endif /* WINVER >= 0x0400 */
#define RT_HTML         MAKEINTRESOURCE(23)
#ifdef RC_INVOKED
#define RT_MANIFEST                        24
#define CREATEPROCESS_MANIFEST_RESOURCE_ID 1
#define ISOLATIONAWARE_MANIFEST_RESOURCE_ID 2
#define ISOLATIONAWARE_NOSTATICIMPORT_MANIFEST_RESOURCE_ID 3
#define MINIMUM_RESERVED_MANIFEST_RESOURCE_ID 1   /* inclusive */
#define MAXIMUM_RESERVED_MANIFEST_RESOURCE_ID 16 /* inclusive */
#else /* RC_INVOKED */
#define RT_MANIFEST                        MAKEINTRESOURCE(24)
#define CREATEPROCESS_MANIFEST_RESOURCE_ID MAKEINTRESOURCE( 1)
#define ISOLATIONAWARE_MANIFEST_RESOURCE_ID MAKEINTRESOURCE(2)
#define ISOLATIONAWARE_NOSTATICIMPORT_MANIFEST_RESOURCE_ID MAKEINTRESOURCE(3)
#define MINIMUM_RESERVED_MANIFEST_RESOURCE_ID MAKEINTRESOURCE( 1 /*inclusive*/)
#define MAXIMUM_RESERVED_MANIFEST_RESOURCE_ID MAKEINTRESOURCE(16 /*inclusive*/)

在 MSDN 上面有一篇文关于 resource types 的介绍：http://msdn.microsoft.com/en-us/library/ms648009(VS.85).aspx

2. .rsrc 节

.rsrc 节装载整个 resouce table 结构和资源的数据，下面是 helloworld.exe 中的 .rsrc 节的信息

域	.rsrc 节
VirtualSize	0x0000E71C
VirtualAddress	0x00019000
SizeOfRawData	0x0000E800
PointerToRawData	0x00006C00
PointerToRelocations	0
PointerToLinenumbers	0
NumberOfRelocations	0
NumberOfLinenumbers	0
Characteristics	0x40000040

.rsrc 被加载在 0x00419000（ImageBase + VirtualAddress）上，真实的大小为 0xE71C，这是一个很庞大的数据段，它在 image 文件的位置是 0x0006C00，占用文件的 0xE800 空间

3. resource table

下面是 helloworld.exe 中所使用的 resource table 信息，它是一个 IMAGE_DATA_DIRECTORY 结构

域	resource table
VirtualAddress	0x00019000
size	0xE71C

可以看出，resource table 就在 .rsrc 节里，它们的 size 都是一样的。

这个 resouce table 共有 0xE71C bytse，这是一个恐怖的表格，占用大量的空间，所以这个 resource table 是一棵茂密的大树。

下面继续探索整个 resource table 的结构。

4. resource table 的整体结构

整个 resource table 由 4 个结构组成：

IMAGE_RESOURCE_DIRECTORY 结构
IMAGE_RESOURCE_DIRECTORY_ENTRY 结构
IMAGE_RESOURCE_DIRECTORY_STRING 结构，或者说是：IMAGE_RESOURCE_DIR_STRING_U 结构
IMAGE_RESOURCE_DATA_ENTRY 结构

整个 resource 结构是一个树型结构，只有一个 root（根）节点，然后长出许多的树枝，最后是叶子。

根部和每个树技是一个节点，这个节点由 IMAGE_RESOURCE_DIRECTORY 结构和 IMAGE_RESOURCE_DIRECTORY_ENTRY 结构组成

而 IMGE_RESOURCE_DIRECTORY_STRING（IMAGE_RESOURCE_DIR_STRING_U）结构和 IMAGE_RESOURCE_DATA_ENTERY 都是整个 资源树 末端的叶子

它的结构图类似下面：

5. 节点的构成

前面说到资源树的节点由 IMAGE_RESOURCE_DIRECTORY 与 IMAGE_RESOURCE_DIRECTORY_ENTRY 构成，它们是怎样组成一个节点的呢？

由 Directory（IMAGE_RESOURCE_DIRECTORY) 指出有多少个 Entry (IMAGE_RESOURCE_DIRECTORY_ENTRY）
然后每个 Entry 再伸延出一个 Directory 或者指出最终的 Data（数据）

事实上 Directory 和 Entry 虽然是两个结构，但它们是一个整体，不存在单独出现的情况

5.1 Driectory（目录）

在 WinNT.h 文件里定义了这个 Directory 结构：

typedef struct _IMAGE_RESOURCE_DIRECTORY {
    DWORD   Characteristics;
    DWORD   TimeDateStamp;
    WORD    MajorVersion;
    WORD    MinorVersion;
    WORD    NumberOfNamedEntries;
    WORD    NumberOfIdEntries;
// IMAGE_RESOURCE_DIRECTORY_ENTRY DirectoryEntries[];
} IMAGE_RESOURCE_DIRECTORY, *PIMAGE_RESOURCE_DIRECTORY;

这个结构里的 Characteristics, MajorVersion 以及 MinorVersion 一直为 0 不使用

NumberOfNamedEntries 代表一个数量，以 "Name" 作为子树的个数。

NumberOfIdEntries 代表一个数量，以 "ID" 作为子树的个数。

而 Directory 引出的 Entry 数量是 NumberOfNamedEntries 与 NumberOfIdEntries 之和，即：NumberOfNamedEntries + NumberOfIdEntries 等于 Entry 的数量

Entry 是紧接着 Driectory 存放的。

5.2 Entry（表项）

在 WinNT.h 文件中，Entry 结构的定义为：

typedef struct _IMAGE_RESOURCE_DIRECTORY_ENTRY {
    union {
        struct {
            DWORD NameOffset:31;
            DWORD NameIsString:1;
        } DUMMYSTRUCTNAME;
        DWORD   Name;
        WORD    Id;
    } DUMMYUNIONNAME;
    union {
        DWORD   OffsetToData;
        struct {
            DWORD   OffsetToDirectory:31;
            DWORD   DataIsDirectory:1;
        } DUMMYSTRUCTNAME2;
    } DUMMYUNIONNAME2;
} IMAGE_RESOURCE_DIRECTORY_ENTRY, *PIMAGE_RESOURCE_DIRECTORY_ENTRY;

这个结构看上去很复杂，实际上它成员只有 两个 DWORD 成员 ，共 8 bytes，如下：

typedef struct _IMAGE_RESOURCE_DIRECTORY_ENTRY {
DWORD Name;
DWORD OffsetToData;
} IMAGE_RESOURCE_DIRECTORY_ENTRY, *PIMAGE_RESOURCE_DIRECTORY_ENTRY;

使用这个看上去很复杂方式定义，它想表达一个策略：

当 Name 的高最位（Bit31）为 1 时： Name[30:0]（低 31 位）是一个 offset 指向 IMAGE_RESOURCE_DIR_STRING_U 结构。
Bit31 为 0 时，Name 表示一个 ID 值。
当 OffsetToData 的最高位（Bit31）为 1 时：OffsetToData[30:0]（低 31 位）是一个 offset 指向下一个 Directory 结构。
Bit31 为 0 时，OffsetToData 仍然是一个 Offset 值，它指向一个 IMAGE_RESOURCE_DATA_ENTRY 结构。

Entry 的职责是给出下一个 Directory 或 Data，从资源树的角度来看，Entry 要么给出下一个节点，要么给出叶子

5.2.1 给出下一个 Directory

此时 Name 是一个 ID 值（即：Bit31 为 0），同时 OffsetToData 指向下一个 Directory 的位置（即：Bit31 为 1）

OffsetToData 提供的这个 Offset 值是基于 resource table 的，例如下面的一个 Entry 是这样的：

// entry[0]
00419010 03 00 00 00 // Name = 0x03 ====> ID = 3 (ICON)
00419014 48 00 00 80 // OffsetToData = 0x80000048

上例上所示，Name 此时表示一个 ID 值（Bit31 为 0），而 OffsetToData 的 Bit31 为 1，此时它提供一个 offset 指向下一个 Directory 的位置。

在这个例子里，resource table 的位址是在 0x00419000，那么下一个 Directory 就在 0x00419048（resource table + OffsetToData）位置上。

5.2.2 给出 Data 数据

OffsetToData 的 Bit31 为 0，它指向一个 IMAGE_RESOURCE_DATA_ENTRY 结构，从树的解度来看，它给出一个叶子。下面是个例子：

// Entry[0]
00419180 09 04 00 00 // ID = 0x409
00419184 98 03 00 00 // ****** IMAGE_RESOURCE_DATA_ENTRY: 0x00000398

此时 OffsetToData 提供的是 Data （IMAGE_RESOURCE_DATA_ENTRY) 位置，同样这个 Offset 也是基于 resource table 的地址。

那么这个 Data 数据区域在：0x00419398

5.3 节点图

Entry 紧跟着 Directory 存放，它们构成一个节点，Directory 的 NumberOfIdEntries 给出 Entry 的个数 7，那么紧跟着的 Entry 就有 7 个。每个 Entry 是一个 IMAGE_RESOURCE_DIRECTORY_ENTRY 结构。

那么该节点大小就有 1 个 IMAGE_RESOURCE_DIRECTORY 结构和 7 个 IMAGE_RESOURCE_DIRECTORY_ENTRY 结构，每个节点的大小可能是不相同。

5.4 root 节点

root（根）节点是 resource table 的第 1 个节点，root 就在 resource table 位置上。

以 helloworld.exe 为例，它的 resource table 在 0x00419000（ImageBase + VirtualAddress），下面是它的 root 节点：

// Driectory: (root)
00419000 00 00 00 00
00419004 00 00 00 00
00419008 00 00
0041900A 00 00
0041900C 00 00 // NumberOfNameEntries
0041900E 07 00 // NumberOfIdEntries

// entry[0]
00419010 03 00 00 00 // ID = 3 (ICON)
00419014 48 00 00 80 // OffsetToData = 0x80000048

// entry[1]
00419018 04 00 00 00 // ID = 4 (MENU)
0041901C D8 00 00 80 // OffsetToData = 0x800000D8

// entry[2]
00419020 05 00 00 00 // ID = 5 (DIALOG)
00419024 F0 00 00 80 // OffsetToData = 0x800000F0

// entry[3]
00419028 06 00 00 00 // ID = 6 (STRING)
0041902C 08 01 00 80 // OffsetToData = 0x80000180

// entry[4]
00419030 09 00 00 00 // ID = 9 (ACCELERATOR)
00419034 20 01 00 80 // OffsetToData = 0x80000120

// entry[5]
00419038 0E 00 00 00 // ID = 0E (GROUP_ICON)
0041903C 38 01 00 80 // OffsetToData = 0x80000138

// entry[6]
00419040 18 00 00 00 // ID = 0x18 (MAINFEST)
00419044 58 01 00 80 // OffsetToData = 0x80000158

它有 7 个 Entry，每个 Entry 代表一个资源，由 Name（ID 值）域得到，每个资源伸延出各自的资源树，这些 ID 值代表一个资源，也就是前面的 WinUser.h 文件定义的常量值，每个 Entry 的 OffsetToData 值都指向各自的下一个 Directory

6. 叶子（Data/String）

资源树最终都要落在未端的叶子上，叶子两类结构表示：Data 和 String，它们由 Entry 引出。

6.1 Data Entry

Data 数据区域由 Data Entry 指出，这个 Data Entry 结构在 WinNT.h 定义为：

typedef struct _IMAGE_RESOURCE_DATA_ENTRY {
    DWORD   OffsetToData;
    DWORD   Size;
    DWORD   CodePage;
    DWORD   Reserved;
} IMAGE_RESOURCE_DATA_ENTRY, *PIMAGE_RESOURCE_DATA_ENTRY;

Data Entry 的职责是指出最终的 resource table 中的数据，由 OffsetToData 指出，这个 OffsetToData 是个 RVA 值，基于 ImageBase。数据区的大小由 Size 得出

在资源树的未端 Resource Directory Entry 给出 Data Entry，再由 Data Entry 得到 Data 区域。

6.2 Resource Directory String

Resource Directory 的名字包含在 String 结构里，这个结构在 WinNT.h 定义为：

typedef struct _IMAGE_RESOURCE_DIRECTORY_STRING {
WORD Length;
CHAR NameString[ 1 ];
} IMAGE_RESOURCE_DIRECTORY_STRING, *PIMAGE_RESOURCE_DIRECTORY_STRING;

typedef struct _IMAGE_RESOURCE_DIR_STRING_U {
WORD Length;
WCHAR NameString[ 1 ];
} IMAGE_RESOURCE_DIR_STRING_U, *PIMAGE_RESOURCE_DIR_STRING_U;

Directory String 里包含的是 Unicode 码，因此，Directory Entry 始终指向 IMAGE_RESOURCE_DIR_STRING_U 结构, 它和 IMAGE_RESOURCE_DIRECTORY_STRING 的区别是一个是 ASCII，一个是 Unicode

NameString 是不定长的，用来表示 Directory 的名字，如：ICON 资源 Directory

6.3 两种分枝

Data 与 String 不可能共同在同一个 Directory 树中：

Data 树由 Directory Entry 中 OffsetToData 指出
String 树由 Directory Entry 中 Name 指出

这种分枝的策略是区别是：

一个用 ID 来标识资源
一个用 String 名字来标资源

6.3.1 Data 树

在 root 节点的 Entry 中，当 OffsetToData 的 Bit31 为 1 时，由该 Entry 伸出的是 Data 树，此时由该 Entry 指向树分枝中的所有 Entry 的 Name 都是 ID 值，

再回过头来看一看 hellworld.exe 的 root 节点：