pe文件资源查找

于 2024-03-18 10:55:26 发布
阅读量403 收藏 6
点赞数 9
分类专栏: 操作系统 文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/enrique11/article/details/136802140
版权

pe文件结构:

IMAGE_DOS_HEADER+IMAGE_NT_HEADERS +IMAGE_SECTION_HEADER+数据

三个结构构成文件头。

资源段为IMAGE_DIRECTORY_ENTRY_RESOURCE

IMAGE_SECTION_HEADER为段描述结构 

以上过程通过get_section_header 解析

资源结构表有四层,前三层的偏移地址从本段基地址开始,前三层结构相同,为IMAGE_RESOURCE_DIRECTORY+IMAGE_RESOURCE_DIRECTORY_ENTRY组成

第一层 ID为资源类型

第二层 ID为资源ID,字串ID=真实ID/16+1;

第三层 ID为格式编码,0x804="gbk";0x409="utf-8"

第四层结构为IMAGE_SECTION_HEADER 该结构中的VirtualAddress指向资源数据:

具体代码如下:

PIMAGE_SECTION_HEADER get_section_header(void * pFileBuffer, DWORD section) {
	PIMAGE_DOS_HEADER pDosHeader;
	PIMAGE_NT_HEADERS pNtHeaders;
	PIMAGE_DATA_DIRECTORY pdd;
	PIMAGE_SECTION_HEADER psh = NULL;
	pDosHeader = (PIMAGE_DOS_HEADER) pFileBuffer;
	if (!pDosHeader) {
		KPrintf("get_section_header fail file \n");
		return NULL;
	}
	if (pDosHeader->e_magic != IMAGE_DOS_SIGNATURE) {
		KPrintf("not a mz header!\n");
		return NULL;
	}
	pNtHeaders =
			(PIMAGE_NT_HEADERS) ((DWORD) pDosHeader + pDosHeader->e_lfanew);

	if (pNtHeaders->Signature != IMAGE_NT_SIGNATURE) {
		KPrintf("not a PE header!\n");
		return NULL;
	}
//资源表在文件中的偏移
	pdd = (void *) (&pNtHeaders->OptionalHeader.DataDirectory[section]);
//	KPrintf("资源表地址,%x!\n",pdd);
	if (!pdd->VirtualAddress) {
		return NULL;
	} else {
//节表后
		psh =
				(PIMAGE_SECTION_HEADER) &(pNtHeaders->OptionalHeader.DataDirectory[pNtHeaders->OptionalHeader.NumberOfRvaAndSizes]);
		for (int i = 0; i < pNtHeaders->FileHeader.NumberOfSections; i++) {
			//KPrintf("sect:%x,%s!\n", psh->SizeOfRawData, psh->Name);
			if (psh->VirtualAddress == pdd->VirtualAddress) {
				return psh;
			}
			psh++;
		}
//运行到这时则出错
		return NULL;
	}

}
PIMAGE_RESOURCE_DIR_STRING_U get_resource_string(
		PIMAGE_RESOURCE_DIR_STRING_U pUStr, int uID) {
	uID %= 16;
	int i;
	// 每16个字符串为一个串组,字符串的排序以字符串的资源ID号为依据,
	// 0 - 15为第一串组,16 - 31位第二串组,32 - 47位第三串组,...。
	// 串组ID号从1开始,字符串ID号从0开始。由此可以得到如下公式:
	// 串组ID = (取整)(字符串ID / 16) + 1
	// 串组ID = pParam->dwResID
	for (i = 0; i < 16; i++) {
		if (i == uID) {
			return pUStr;
		}
		if (pUStr->Length <= 0) {
			//空字串占两个字节
			pUStr++;
		} else {
			//结尾占两节
			pUStr = (DWORD) pUStr + 2 + 2 + pUStr->Length * 2;
		}

	}
	return NULL;
}

DWORD resource_from_id(PIMAGE_RESOURCE_DIRECTORY pResDir, int uID) {

	PIMAGE_RESOURCE_DIRECTORY_ENTRY pResDirEntry;
	DWORD dwSize;
	//KPrintf("resource_from_id %x,%x\n",pResDir,uID);
	pResDirEntry = (PIMAGE_RESOURCE_DIRECTORY_ENTRY) ((DWORD) pResDir
			+ sizeof(IMAGE_RESOURCE_DIRECTORY));
	dwSize = pResDir->NumberOfIdEntries + pResDir->NumberOfNamedEntries;

	//第一层查找相应类型
	for (int i = 0; i < dwSize; i++) {

		if ((pResDirEntry->DUMMYUNIONNAME.Id == uID) | (uID == 0)) {
			return pResDirEntry->DUMMYUNIONNAME2.DUMMYSTRUCTNAME2.OffsetToDirectory;
		}
		pResDirEntry++;
	}
	return 0;
}
//返回的地址是偏移地址
DWORD find_resource_offset(void * dwResourceAddr, int mode, int uID) {

	PIMAGE_RESOURCE_DIRECTORY_ENTRY pResDirEntry = NULL;
	PIMAGE_RESOURCE_DATA_ENTRY pResDataEntry = NULL;
	DWORD dwSize, dwSize2, dwSize3, dwResDataSize;
	DWORD offset, uID2;
	//第一层iD为资源类型
	offset = resource_from_id(dwResourceAddr, mode);
	if (!offset) {
		return 0;
	}

	if (mode == RT_STRING) {
		uID = uID / 16 + 1;
	}
	//第二层ID,如果字串则需转换,其他可直接使用
	offset = resource_from_id(offset + (DWORD) dwResourceAddr, uID);
	if (!offset) {
		return 0;
	}
	//第三层id与编译语言有关,0x804为中文
	offset = resource_from_id(offset + (DWORD) dwResourceAddr, 0);
	if (!offset) {
		return NULL;
	}

	pResDataEntry = (PIMAGE_RESOURCE_DATA_ENTRY) (offset
			+ (DWORD) dwResourceAddr);

	return pResDataEntry->OffsetToData;
}
EXPORT WINAPI
HRSRC FindResourceW(HMODULE hModule, LPCWSTR lpName, LPCWSTR lpType) {
	DWORD pResDataEntry = 0;
	if (!hModule) {
		hModule = GetModuleHandleA(NULL);
	}

//找到资源段入口
	PIMAGE_SECTION_HEADER psh = get_section_header((void *) hModule,
	IMAGE_DIRECTORY_ENTRY_RESOURCE);
	if (psh) {
//资源数据偏移
		pResDataEntry = find_resource_offset(
				(void*) (psh->VirtualAddress + (DWORD) hModule), (int) lpType,
				lpName);

	}
	KPrintf(" API  FindResourceW %x \n", pResDataEntry);
	return pResDataEntry;
}

麻雀123
关注
  • 9
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
WIN32汇编语言程序设计——查看PE资源列表
evagenius的博客
03-29 327
这么多种类型的不同ID的资源是用类似于磁盘目录结构的方式组织起来的。也就是按照根目录→资源类型→资源ID的3层树型目录结构来组织资源,只不过在第3层目录中放置的代码页“文件”不是资源本身而是一个用来描述资源的结构罢了,通过这个结构中的指针才能最后找到资源数据。PE文件资源中的内容包括光标、图标、位图、菜单等十几种标准的类型,除此之外,还可以使用自定义的类型。每种类型的资源中可能存在多个资源项,这些资源项用不同的ID或者名称来分辨,在某个资源ID下,还可以同时存在不同代码页的版本。
PE文件资源修改工具包
09-03
PE文件资源修改工具,可修改PE文件的各种资源:字符串、图片等。含有使用Resource Hacker工具
PE-资源
megaparsec
12-19 1806
PE资源PE中的相关资源可以通过程序进行深度定位,所获取的二进制字节码与资源脚本语句之间是一一对应的这些数据可能是源代码内部需要用到的常景,比如 菜单选项、界面描述等;也可能是源代码外部的,比如程序的图标文件、背景音乐文件、配置 文件等,以上这些数据统称为资源
PE文件资源解析(一)资源类型的提取
老狼的专栏
04-21 2661
这个界面相信作为软件开发人员来说,都不会陌生。 从本章节起,分篇介绍如何来开发一个属于自己的资源提取软件。资源的提取有2种,一种是通过WindowsAPI接口来实现资源类型的枚举,一种是通过解析PE文件结构来获取资源类型的枚举。PE文件解析方式将放在后面章节,这次首先以WindowsAPI方式来进行讲解:这里主要用到3个接口EnumResourceTypes、EnumResourceName...
PE资源分析
01-08
PE资源分析,用于分析可执行文件里的资源。不要分,只为共享。
易语言PE文件资源查看
08-22
通过以上功能,易语言PE文件资源查看源码可以帮助开发者深入理解PE文件的内部结构,进行资源查找、修改、提取等工作,对于软件开发和逆向工程具有重要意义。16120191218095053可能是该源码系统的版本号或时间戳,...
TPE.rar_pe文件
09-24
PE文件格式是Microsoft为32位和64位Windows系统设计的,它包括了程序的代码、数据、资源以及执行环境所需的信息。PE文件由多个部分组成,如DOS头、PE头(COFF头)、节表、导入和导出表、资源表、异常处理表等。这些...
PE文件解析器
12-01
- **逆向工程**: 通过解析PE文件,逆向工程师可以理解程序的工作原理,查找漏洞或恶意行为。 - **软件开发**: 开发人员可以使用PE解析器检查依赖性,优化资源分配,或调试代码。 - **安全分析**: 安全专家用它来...
C++的PE文件操作类
08-01
本篇将详细探讨C++如何操作PE文件,包括读取PE文件信息、解析导入表和导出表,并实现iat(Import Address Table)Hook。 首先,我们需要理解PE文件的基本结构。PE文件由头文件和节区组成。头文件包含了PE文件的类型...
二进制文件/PE文件对比工具非常好用
07-28
2. **节区对比**:PE文件由多个节区组成,每个节区包含代码、数据或资源。工具会对比每个节区的大小、位置、属性以及内容。 3. **导出和导入函数**:对于DLL,工具会比较其导出和导入的函数,看看是否有增删或修改...
PE资源查看工具 最好用
12-17
详细的 PE文件头信息、资源、数据目录,可编辑重定位信息,资源,等,支持修改后保存
PE--资源
SUNE__学无止境
05-24 476
本来该用递归来写的,奈何总是写不出来,所以写了一个遍历3层结构的程序。以后来写递归的 VOID _GetResourceInfo1(PVOID pFileBuffer) { PIMAGE_DOS_HEADER pDosHeader = NULL; PIMAGE_NT_HEADERS pNtHeaders = NULL; PIMAGE_RESOURCE_DIRECTORY_
PE文件解析-资源(Resource)
zhyulo的博客
01-06 4974
一、位置     PE文件头可选映像头中数据目录表的第3成员IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_DIRECTORY_ENTRY_RESOURCE]指向映像调试信息,它保存在PE文件中,通常在".rsrc"区段。 二、资源简介     程序内部和外部的界面等元素的二进制数据统称为资源,程序把它们放在一个特定的表中,符合数据和程序分离的设计原则。资源...
PE文件资源简介
weixin_43575859的博客
03-15 380
PE文件中的资源部分占PE文件很大的一个比例,资源包括光标,位图,菜单等等还有十几种标准类型,处理标准类型还有自定义类型。资源的组织方式很像磁盘目录的组织的方式,或者说像数据结构中的树型结构。PE文件资源的组织方式如下图: 从上图可以看到资源块是由很多种结构组成的,第一层目录也就是根目录的第一个结构是一个IMAGE_RESOURCE_DIRECTORY结构,它也就是IMAGE_OPTION...
PE 资源
不会写代码的丝丽
05-01 707
前言 我们在window开发中需要很多资源比如ico和accelerator,dialog这些资源都被存放在PE文件的.rsrc节中。 首先我们需要明白PE存储方式才好解析: 首先是三个三级目录最后才是真正的资源,其中第三个目录使用LCID进行区分地区.具体参阅 谈谈Windows程序中的字符编码 //winnt.h #define IMAGE_DIRECTORY_ENTRY_RESOURCE 2 // Resource Directory 我们举例某个工程 你可以看到这个工程有两个
PE文件中读写资源
沧海一粟
06-28 1123
我们发现有的可执行文件有DLL依赖但是没有看到DLL文件,就一个可执行文件。有的支持多种语言但是没有看到资源dll,这个时候你使用exescope或者pe explorer打开看下资源发现和一般的可执行文件资源结构有很大的差异,其实这些可执行文件里面都包含有执行所需要的各种资源。以为为简单分析,详细win32 api使用请查看msdn。 我们一般从可执行文件(本文件或者其他文件)读取资源需要做
Windows PE资源表编程(枚举资源树)
天使也掉毛
02-08 2160
资源枚举     写一个例子,枚举一个PE文件资源表。首先说下资源相关的作为铺垫。 1.资源类型也是PE可选头中数据目录的一种。位于第三个类型。 2.资源目录分为三层。第四层是描述文件相关的。这些结构是按照二叉排序树的结构存的。每一个节点都可以看成是一段连续的数据块(1个资源目录头+n个资源目录项)。 3.整体基本结构: OK,基础知识就简单说这些。如果还是
PE结构】资源
SMOne
06-27 2989
一、前言 二、PE整体结构 三、DOS头 四、NT头 五、区段头 六、导出表 七、导入表 八、资源表 九、其他表 1.概念 程序中通常包含图片、菜单、控件、不同样式的文本等多种多样的内容。 这些内容或界面元素,都以二进制的形式保存在PE文件中。 这些数据保存的位置,就是PE文件资源段(.rsrc) 这些数据的组织格式,我们成为资源表 2.资源表定...
PE资源结构及读取
Dustfly的专栏
01-06 2597
  PE资源结构及读取作者:Sunline               lisunlin0@yahoo.com.cn       2007 年 7 月源代码下载:http://download.csdn.net/source/359338  其中的Source文件夹中.       下面的一些函数是我在学习PE结构时参考Matt Pietrek的《A Tour of the Win32 P
Windows Pe资源文件解析
最新发布
05-30
Windows PE 文件中,资源文件资源段的形式存储,通常被称为“资源节”。资源节包含了多个资源,每个资源都有一个独一无二的标识符,可以用来在程序中访问这些资源。 下面介绍一种解析 Windows PE 资源文件的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

麻雀123

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值