解析资源表

最新推荐文章于 2024-04-11 02:15:11 发布
最新推荐文章于 2024-04-11 02:15:11 发布
阅读量1k 收藏 5
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Kwansy/article/details/106393395
版权
本文介绍了PE文件中复杂的资源表,解析过程中涉及的结构体及其属性,包括IMAGE_RESOURCE_DIRECTORY、IMAGE_RESOURCE_DIRECTORY_ENTRY等。资源表结构类似树形,通过高低位判断属性含义,如资源类型、偏移和字符串表示。通过代码解析并验证了资源表的正确性,提供了一个理解资源表的实例。
摘要由CSDN通过智能技术生成

一、资源表简介

资源表是PE所有表里边最复杂的表,造成资源表复杂是有历史原因的,简单说就是微软设计PE的时候错误的以为只要定义16中资源类型就够了,后来发现远远不够,但是PE结构已经定下来了,只能在原有基础上修改,因此就造成了资源表这块比较不好理解。

所谓的不好理解,就是它里边用到的结构,其中的属性会出现位段/位域的用法,同一个4字节,要根据高位判断它到底是一个整数还是一个偏移;然后偏移并不是RVA,而是相对于资源表的偏移。

但是这些并不能难倒我,我花了一天,把解析程序写出来了。
推荐一本书叫《WINDOWS+PE权威指南》,里面详细说明了资源表的结构,我是看着这本书把程序写出来的。

二、资源表结构的分析

资源表的结构有点像树,长这样:
在这里插入图片描述
解析资源表,会涉及到4个结构体,上图包含其中两个,它们分别是:

资源目录 IMAGE_RESOURCE_DIRECTORY

typedef struct _IMAGE_RESOURCE_DIRECTORY {
   
    DWORD   Characteristics;
    DWORD   TimeDateStamp;
    WORD    MajorVersion;
    WORD    MinorVersion;
    WORD    NumberOfNamedEntries;
    WORD    NumberOfIdEntries;
//  IMAGE_RESOURCE_DIRECTORY_ENTRY DirectoryEntries[];
} IMAGE_RESOURCE_DIRECTORY, *PIMAGE_RESOURCE_DIRECTORY;

该结构的 NumberOfNamedEntries 和 NumberOfIdEntries 求和就是紧挨着的资源目录项的数量,其他属性不用管。

资源目录项 IMAGE_RESOURCE_DIRECTORY_ENTRY

typedef struct _IMAGE_RESOURCE_DIRECTORY_ENTRY {
   
    union {
   
        struct {
   
            DWORD NameOffset:31;
            DWORD NameIsString:1;
        };
        DWORD   Name;
        WORD    Id;
    };
    union {
   
        DWORD   OffsetToData;
        struct {
   
            DWORD   OffsetToDirectory:31;
            DWORD   DataIsDirectory:1;
        };
    };
} IMAGE_RESOURCE_DIRECTORY_ENTRY, *PIMAGE_RESOURCE_DIRECTORY_ENTRY;

该结构有两个4字节属性,第一个4字节,当高位为1时,低31位存储的是一个偏移,加上资源表的基址,就指向了一个 IMAGE_RESOURCE_DIR_STRING_U 结构,该结构存储了一个Unicode字符串,在第一层,字符串表示资源的名称;在第二层表示资源的非标准命名;在第三层表示非标准代码页。当高位为0时,在第一层低16位表示是16种标准资源类型之一,如ICON;在第二层低16位表示标准命名(预定义的类型);在第三层低16位表示标准代码页,如2052表示简体中文。

第二个4字节属性,在前两层,高位一定是1,在第三层,高位一定是0.
在第一层,低31位表示一个偏移,加上资源表基址就指向了第二层的资源目录 IMAGE_RESOURCE_DIRECTORY;
在第二层,和第一层同理,低31位加上资源表基址指向了第三层的资源目录 IMAGE_RESOURCE_DIRECTORY;
在第三层,低31位是一个偏移,加上资源表基址就指向了一个资源数据项结构 IMAGE_RESOURCE_DATA_ENTRY,该结构存储的是资源的RVA和大小。

Unicode字符串结构体 IMAGE_RESOURCE_DIR_STRING_U

typedef struct _IMAGE_RESOURCE_DIR_STRING_U {
   
    WORD    Length;
    WCHAR   NameString[ 1 ];
} IMAGE_RESOURCE_DIR_STRING_U, *PIMAGE_RESOURCE_DIR_STRING_U;

该结构体存储的是一个Unicode字符串的起始地址,和这个字符串的长度,该结构定义的字符串不以0结尾。

资源数据项 IMAGE_RESOURCE_DATA_ENTRY

typedef struct _IMAGE_RESOURCE_DATA_ENTRY {
   
    DWORD   OffsetToData;
    DWORD   Size;
    DWORD   CodePage;
    DWORD   Reserved;
} IMAGE_RESOURCE_DATA_ENTRY, *PIMAGE_RESOURCE_DATA_ENTRY;

存储了资源的RVA和大小。

三、代码

上面的文字说明写得太烂了,还是用代码说明吧?代码写得也烂,但是至少用LordPE验证过解析结果是对的。

// 打印资源表
VOID PrintResourceTable
最低0.47元/天 解锁文章
hambaga
关注
PE总结13 --PE文件结构之 解析资源
oBuYiSeng的博客
12-11 2712
// 资源2.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include #include #include DWORD RVA2Offset(DWORD dwRva, PIMAGE_NT_HEADERS32 pNt) { DWORD dwOffset = 0; PIMAGE_SECTION_HEADER pSection = I
资源的详解
For Geek
05-02 2821
0x0 资源的简介 在Windows中,资源对于可执行文件而言是一个非常重要的存在,例如一个窗口,一个菜单都是一项资源信息,在PE文件的所有结构中,资源部分是最复杂的,所以本节我会很详细的介绍资源部分。 下面我们给出资源的定义: Windows程序的各种界面称为资源,包括加速键,位图,光标,对话框,图标,菜单,串,工具栏和版本信息等。 我们先总的看下资源的总结构,先忽略细节。PE文件安排资源的结...
PE格式第九讲,资源解析
weixin_30433075的博客
10-23 223
        PE格式第九讲,资源解析 一丶熟悉Windows管理文件的方法 首先,为什么标题是这个,主要是为了下边讲解资源方便,因为资源结构体很乱.如果直接拿出来讲解,那么就会很晕. 1.windows管理文件方法 树形结构 可以看出结构 根目录   子目录     文件.xxx   子目录     子目录 (子目录里面还可以有文件夹)   .....     那...
资源解析
qq_41490873的博客
01-28 527
通过数据目录的第三个结构可以得到资源的RVA typedef struct _IMAGE_DATA_DIRECTORY { DWORD VirtualAddress; DWORD Size; } IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY; typedef struct _IMAGE_RESOURCE_DIRECTORY ...
PE总结15--PE文件结构之 解析资源
oBuYiSeng的博客
12-11 731
// helloworld1.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include DWORD RVA2OffSet(DWORD dwRVA, PIMAGE_NT_HEADERS32 pNt) { DWORD dwOffset = 0; // 1. 获取第一个区段结构体 PIMAGE_SECTION_HEADER
解析资源
weixin_30284355的博客
04-07 118
1.资源类型 #define RT_CURSOR MAKEINTRESOURCE(1)              //光标 #define RT_BITMAP MAKEINTRESOURCE(2)              //位图 #define RT_ICON MAKEINTRESOURCE(3)            ...
emoji解析资源
11-08
本文将深入探讨“emoji解析资源”所涉及的核心知识点,包括emoji的编码、解析方法、JavaScript实现以及相关的开发实践。 首先,我们需要理解emoji的编码体系。Unicode是现代计算机系统中广泛使用的字符编码标准...
Java版DLT645-2007电能协议解析源码(串口协议解析)
02-16
Java版的DLT645-2007电能协议解析源码是用于处理电能通信的一种软件开发资源,尤其适用于那些需要通过串行接口与电能进行数据交互的应用。这个协议是中国电力行业的一个标准,规定了电能与数据采集系统之间...
2021-06-07解析资源
weixin_42408832的博客
06-07 696
// Location_Res.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #define FilePath "D:\\NOTEPAD.EXE" //功能:Rva转Foa //参数1:FileBuffer //参数2:dwRva,需要转换的Rva地址 DWORD RvaToFileOffset(IN LPVOID pFileBuffer, IN DWORD dwRva) { //定义文件头 PIMAGE_DOS_HEADER dosHead
API解析资源下载
01-12
API(Application Programming Interface,应用程序编程接口)是一些预先定义的函数,目的是提供应用程序与开发人
资源解析+下载图标
最新发布
pluginL的博客
04-11 126
下载图标则是在上面解析的基础上做一个判断ID?=3,是的话就是全部从fileBuffer转化成文件,转化名字可能要用点字符串处理函数。我选择使用两个for循环遍历出所有的具体项,说复杂也不算。改名字就没去做了,反复造轮子而已。资源类型->编号->具体项。
浏览器解析资源
qq_43618136的博客
03-03 544
请求得到响应后将获取到相应的资源,此时浏览器开始解析资源
PE-资源
megaparsec
12-19 1886
PE资源 PE中的相关资源可以通过程序进行深度定位,所获取的二进制字节码与资源脚本语句之间是一一对应的这些数据可能是源代码内部需要用到的常景,比如 菜单选项、界面描述等;也可能是源代码外部的,比如程序的图标文件、背景音乐文件、配置 文件等,以上这些数据统称为资源
滴水逆向三期 PE解析 资源
四位的博客
06-16 1614
概要 资源采取目录的形式, 就和我们常用的访问文件夹性质是一样的, 每一级都是同一结构, 每一级之前又有一个结构来判断当前级是否为目录. 文章采用两种方式来理解 利用文件目录理解 根据结构解析 代码实现 分析 根据结构解析 文件结构: 注意事项: 结构中涉及的偏移计算方式均为 第一个目录(DataDirectory[2]所指向的结构)的偏移加上其值 譬如本例中所有偏移均已pResourceDirectory的地址作为基准. 故定义变量dwPRD指代其值 一 目录定位到资源位置 可以看到红色标红两项
解析res资源的方法
Double摩卡的专栏
03-27 1014
 解析res资源的方法 AssetManager am = getAssets();   InputStreamReader isr = null;   try {    StringBuilder sb = new StringBuilder();    InputStream is = am.open("test.txt");    isr = new InputSt
资源提供者和资源解析
MX_XXS的博客
06-17 2470
一、安卓6.0动态获取权限 String[] strings = new String[]{Manifest.permission.READ_SMS,Manifest.permission.READ_CALL_LOG,Manifest.permission.WRITE_CALL_LOG, Manifest.permission.READ_CONTACTS,Manifest.perm...
PE 资源
不会写代码的丝丽
05-01 724
前言 我们在window开发中需要很多资源比如ico和accelerator,dialog这些资源都被存放在PE文件的.rsrc节中。 首先我们需要明白PE存储方式才好解析: 首先是三个三级目录最后才是真正的资源,其中第三个目录使用LCID进行区分地区.具体参阅 谈谈Windows程序中的字符编码 //winnt.h #define IMAGE_DIRECTORY_ENTRY_RESOURCE 2 // Resource Directory 我们举例某个工程 你可以看到这个工程有两个
PE结构->【资源】Resources Table
u011513939的博客
06-21 1484
很多朋友都想通过自己动手修改一些游戏的资源、工具的界面、或者一些软件的图标等,都知道要改资源部分。但纯粹一进去就像走进了迷宫……出不来…… 虽然说是迷雾重重,但是本节的学习确意义非凡,例如我们可以对游戏进行汉化!怎么样?刺激吧?给力吧?我们可以自己汉化我们喜欢的**游戏哦! 资源结构 资源是PE文件中非常重要的部分,几乎所有的PE文件中都包含着资源,与导入和导出相比,资源的组织方式
如何解析PE文件的资源
03-12
作为一个类 ChatGPT 的 AI,我可以告诉您,解析 PE 文件的资源可以使用一些专门的工具,例如 Resource Hacker、PE Explorer 等。这些工具可以帮助您查看 PE 文件中的资源,包括资源类型、资源名称、资源大小等...
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值