WIN32汇编语言程序设计——查看PE资源列表

已于 2023-04-13 12:36:26 修改
阅读量331 收藏 1
点赞数
分类专栏: WIN32汇编 文章标签: 开发语言 windows
于 2023-03-29 17:26:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/evagenius/article/details/129829851
版权

一、相关意义及说明   

PE文件资源中的内容包括光标、图标、位图、菜单等十几种标准的类型,除此之外,还可以使用自定义的类型。每种类型的资源中可能存在多个资源项,这些资源项用不同的ID或者名称来分辨,在某个资源ID下,还可以同时存在不同代码页的版本。

这么多种类型的不同ID的资源是用类似于磁盘目录结构的方式组织起来的。也就是按照根目录→资源类型→资源ID的3层树型目录结构来组织资源,只不过在第3层目录中放置的代码页“文件”不是资源本身而是一个用来描述资源的结构罢了,通过这个结构中的指针才能最后找到资源数据。

整个组织结构如下图所示:

872dac96a10e41edb584059edda3f7f2.png

图17.8 PE文件中资源的组织方式

二、分析书本实例(CHA17-Resource文件夹—_ProcessPeFile、_ProcessRes)

1. _ProcessPeFile子程序

(1) 参数的意义

① 子程序参数1:已经读取到内存中的文件头的地址。通过内存映射读取到整个PE文件在内存中的起始位置。

② 子程序参数2:PE文件头在内存中的偏移地址。也就是在MAGE_DOS_HEADER 结构中取出的e_lfanew的值。

③ 子程序参数3:整个PE文件的长度。通过打开文件后拿到的句柄,用GetFileSize函数拿到文件的长度。

(2) 检查是否存在资源,如果存在,则获取资源目录的RVA值并转换为在PE文件中的偏移位置。然后显示文件名和资源所处的节的名称。最后将资源目录在PE文件中的地址存入esi作为参数调用子程序_ProcessRes。

_ProcessPeFile	proc	_lpFile,_lpPeHead,_dwSize
		local	@szBuffer[1024]:byte,@szSectionName[16]:byte

		pushad
		mov	esi,_lpPeHead
		assume	esi:ptr IMAGE_NT_HEADERS
;********************************************************************
; 检测是否存在资源
;********************************************************************
		mov	eax,[esi].OptionalHeader.DataDirectory[8*2].VirtualAddress
		.if	! eax
			invoke	MessageBox,hWinMain,addr szErrNoRes,NULL,MB_OK
			jmp	_Ret
		.endif
		push	eax
		invoke	_RVAToOffset,_lpFile,eax
		add	eax,_lpFile
		mov	esi,eax
		pop	eax
		invoke	_GetRVASection,_lpFile,eax
		invoke	wsprintf,addr @szBuffer,addr szMsg,addr szFileName,eax
		invoke	SetWindowText,hWinEdit,addr @szBuffer
		invoke	_ProcessRes,_lpFile,esi,esi,1

2. _ProcessRes子程序

(1) 子程序参数一览

① 子程序参数1:已经读取到内存中的文件头的地址。通过内存映射读取到整个PE文件在内存中的起始位置。

② 子程序参数2:第一层资源目录表在PE文件中的地址。也就是第一层IMAGE_RESOURCE_DIRECTORY结构的起始地址。

③ 子程序参数3:每一层资源目录表在PE文件

最低0.47元/天 解锁文章
evagenius
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE文件资源
甜筒八部 的专栏
04-07 576
这里的RVA我们可以定位到资源表的位置 资源定义 Windows 将程序的各种界面定义为资源,包括加速键(Accelerator)、位图(Bitmap)、光标(Cursor)、对话框(Dialog Box)、图标(Icon)、菜单(Menu)、串表(String Table)、工具栏(Toolbar)和版本信息(Version Information)等。 资源有很多种类型,每种类型的资源中可能存在多个资源项,这些资源项,用不同的ID 或名称来区分。但是,要将这么多种类型的不同ID ...
PE-资源
megaparsec
12-19 1879
PE资源PE中的相关资源可以通过程序进行深度定位,所获取的二进制字节码与资源脚本语句之间是一一对应的这些数据可能是源代码内部需要用到的常景,比如 菜单选项、界面描述等;也可能是源代码外部的,比如程序的图标文件、背景音乐文件、配置 文件等,以上这些数据统称为资源
PE--资源
SUNE__学无止境
05-24 499
本来该用递归来写的,奈何总是写不出来,所以写了一个遍历3层结构的程序。以后来写递归的 VOID _GetResourceInfo1(PVOID pFileBuffer) { PIMAGE_DOS_HEADER pDosHeader = NULL; PIMAGE_NT_HEADERS pNtHeaders = NULL; PIMAGE_RESOURCE_DIRECTORY_
PE 资源
不会写代码的丝丽
05-01 716
前言 我们在window开发中需要很多资源比如ico和accelerator,dialog这些资源都被存放在PE文件的.rsrc节中。 首先我们需要明白PE存储方式才好解析: 首先是三个三级目录最后才是真正的资源,其中第三个目录使用LCID进行区分地区.具体参阅 谈谈Windows程序中的字符编码 //winnt.h #define IMAGE_DIRECTORY_ENTRY_RESOURCE 2 // Resource Directory 我们举例某个工程 你可以看到这个工程有两个
PE资源分析
01-08
PE资源分析,用于分析可执行文件里的资源。不要分,只为共享。
WIN32汇编语言程序设计——查看PE文件导出表
evagenius的博客
03-24 500
PE文件被执行的时候,Windows装载器将文件装入内存并将导入表中登记的DLL文件一并装入,再根据DLL文件中的函数导出信息对被执行文件的IAT表进行修正。在这些包含导出函数的DLL文件中,导出信息被保存在导出表中,通过导出表,DLL文件向系统提供导出函数的名称、序号和入口地址等信息,以便Windows装载器通过这些信息来完成动态链接的过程。通过打开文件后拿到的句柄,用GetFileSize函数拿到文件的长度。(1) 子程序参数1:已经读取到内存中的文件头的地址。2. 获取数据块的文件偏移地址。
WIN32汇编语言程序设计——API和动态链接
最新发布
evagenius的博客
04-23 1012
最后有一个最重要的概念一定要牢记:动态链接库是被映射到其他应用程序的地址空间中执行的,它和应用程序可以看成是“一体”的,动态链接库可以使用应用程序的资源,它所拥有的资源也可以被应用程序使用,它的任何操作都是代表应用程序进行的,当动态链接库进行打开文件、分配内存和创建窗口等操作后,这些文件、内存和窗口都是为应用程序所拥有的。1. 在程序中声明函数。当PE文件被执行的时候,Windows装载器将文件装入内存并将导入表中登记的DLL文件一并装入,再根据DLL文件中的函数导出信息对被执行文件的IAT表进行修正。
WIN32汇编语言程序设计——获取重定位表信息的实例分析(CHAR17)
evagenius的博客
04-13 217
重定位表的结构和获取过程分析
WIN32汇编语言程序设计——取出导入表的函数及引用DLL名称信息(CHA17)
evagenius的博客
03-22 249
值得一提的是访问数据目录表的时候地址是DataDirectory[8].VirtualAddress,这里要说明一下:在MASM中,不管数组中的单个数组项字节数是多少,括号中的数值都是字节地址而不是数组下标,所以数据目录表结构的长度是8的时候,访问第n个结构时要寻址的就是DataDirectory[n*8],所以上面的DataDirectory[8]实际上是DataDirectory[1*8]的意思,表示访问的是索引号为1的数组项。(1) 子程序参数1:已经读取到内存中的文件头的地址。
PE资源查看工具 最好用
12-17
详细的 PE文件信息资源、数据目录,可编辑重定位信息资源,等,支持修改后保存
PE信息查看工具
01-19
查看可执行文件的强大工具,详细的PE结构分类,辅助查看程序加壳状态,编程语言状态,程序编译时间等(中文版)
pe文件解析:读取pe信息获取文件资源(源码)
03-01
读取pe信息获取文件资源 vc编写 不够长
PE文件分析-资源
m0_48995611的博客
07-05 337
时间:202106 资源表 DESC: 记录PE文件中的资源信息。 RVA: IMAGE_DATA_DIRECTORY[2].VirtualAddress。 资源包括 Cursor, Bitmap, Icon, Menu, Dialog, String, Accelerator 等预定义的资源类型和自定义的资源类型, 不同资源类型用 ID 区分。 预定义资源类型ID 描述 1 Cursor 2 Bitmap Resource 3 Icon 4 Menu Resource
PE结构】资源
SMOne
06-27 2994
一、前言 二、PE整体结构 三、DOS头 四、NT头 五、区段头 六、导出表 七、导入表 八、资源表 九、其他表 1.概念 程序中通常包含图片、菜单、控件、不同样式的文本等多种多样的内容。 这些内容或界面元素,都以二进制的形式保存在PE文件中。 这些数据保存的位置,就是PE文件资源段(.rsrc) 这些数据的组织格式,我们成为资源表 2.资源表定...
PE文件资源解析(一)资源类型的提取
老狼的专栏
04-21 2682
这个界面相信作为软件开发人员来说,都不会陌生。 从本章节起,分篇介绍如何来开发一个属于自己的资源提取软件。资源的提取有2种,一种是通过WindowsAPI接口来实现资源类型的枚举,一种是通过解析PE文件结构来获取资源类型的枚举。PE文件解析方式将放在后面章节,这次首先以WindowsAPI方式来进行讲解:这里主要用到3个接口EnumResourceTypes、EnumResourceName...
PE文件详解(六)
Masimaro的专栏
03-21 3052
这篇文章转载自小甲鱼的PE文件详解系列原文传送门 之前简单提了一下节表和数据目录表,那么他们有什么区别? 其实这些东西都是人为规定的,一个数据在文件中或者在内存中的位置基本是固定的,通过数据目录表进行索引和通过节表进行索引都是可以找到的,也可以这么说,同一个数据在节表和数据目录表中都有一份索引值,那么这两个表有什么区别?一般将具有相同属性的值放到同一个节区中,这也就是说同一个节区的值只是保护属性
PE文件资源简介
weixin_43575859的博客
03-15 397
PE文件中的资源部分占PE文件很大的一个比例,资源包括光标,位图,菜单等等还有十几种标准类型,处理标准类型还有自定义类型。资源的组织方式很像磁盘目录的组织的方式,或者说像数据结构中的树型结构。PE文件资源的组织方式如下图: 从上图可以看到资源块是由很多种结构组成的,第一层目录也就是根目录的第一个结构是一个IMAGE_RESOURCE_DIRECTORY结构,它也就是IMAGE_OPTION...
Windows PE资源表编程(枚举资源树)
天使也掉毛
02-08 2169
资源枚举     写一个例子,枚举一个PE文件资源表。首先说下资源相关的作为铺垫。 1.资源类型也是PE可选头中数据目录的一种。位于第三个类型。 2.资源目录分为三层。第四层是描述文件相关的。这些结构是按照二叉排序树的结构存的。每一个节点都可以看成是一段连续的数据块(1个资源目录头+n个资源目录项)。 3.整体基本结构: OK,基础知识就简单说这些。如果还是
Win32汇编语言程序设计与API调用解析
Win32汇编语言程序设计是一种在Windows操作系统下进行编程的技术,通过详细剖析win32汇编程序设计可知,其结构包括汇编程序的指令集、内存模式和参数传递规则的设置,以及包含已初始化数据、未初始化数据、常数声明...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值