分析PE格式文件中的图标信息

最新推荐文章于 2021-03-07 09:13:12 发布
最新推荐文章于 2021-03-07 09:13:12 发布
阅读量2.8k 收藏 2
点赞数
分类专栏: 其它&一般性编程 文章标签: image header buffer null file dos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lbird/article/details/1506055
版权
 
PE格式的资源段是比较复杂的,目前几种介绍PE格式的书籍在介绍到这部分时都是不够深入(本人认为写得比较好的有《Windows95系统程式设计奥秘》候捷译本),因此不
得不拿起工具自已研究,分析PE格式比较好的工具有:stud_PE,UltraEdit等。以下记录我在研究图标资源时的过程,请结合PE格式分析教材阅读
 
步骤:
1、得到资源段的偏移地址;
用Stud_PE打开PE格式文件,“sections”页中有个名称为“.rsrc”的行(如果程序有资源的话)。 查看该行的“VirtualOffset”字段,其值即是资源段的偏移,也是文件中的偏移;
 
2、用一款十六进制编辑软件(可使用UltraEdit)打开PE格式文件,定位到资源段;
 
3、资源段首先是个IMAGE_RESOURCE_DIRECTORY结构数据,该结构的NumberOf-
NamedEntries表示“使用名称的资源”的个数,NumberOfIdEntries表示“使用整数ID的资源”;
 
4、然后是数个IMAGE_RESOURCE_DIRECTORY_ENTRY结构,个数是NumberOfNam-
       edEntries和NumberOfIdEntries的和;IMAGE_RESOURCE_DIRECTORY_ENT
RY结构只有8字节,虽然结构看起来很大。前4个字节表示资源类型,后4个字节表示位置。资源类型的值如果是3(RT_ICON)表示图标,其它值参考文档,例如,2(RT_BITMAP)表示位图,1(RT_CURSOR)表示光标;后4个字节表示资源的位置,如果高位被置位,余下的31位就是指向资源目录的偏移,这个偏移相对于资源区块开始的位置而不是RVA;
 
5、找到图标资源的偏移,这里又是一个IMAGE_RESOURCE_DIRECTORY结构,结构的
       NumberOfIdEntries表示图标的个数;此后又是数个IMAGE_RESOURCE_DIRECTO
RY_ENTRY(与图标个数相同),前4个字节应该是图标的ID,后期个字节是图标
的位置;
 
6、由上步的偏移再次找到一个IMAGE_RESOURCE_DIRECTORY结构,感觉没什么有用
       信息;之后又是一个IMAGE_RESOURCE_DIRECTORY_ENTRY结构(好烦),此时,
       通过后4个字节(与资源区首的偏移值)可以找到另一个IMAGE_RESOURCE_DATA_
ENTRY结构,该结构的有用信息是: offsetToData表示图标数据的位置(是RVA,此时不是偏移了),size 图标数据块的大小。
 
7、最后注意,这里的图标信息比普通的图标文件的信息好,粗略一看,至少少了文件头和
       图标头两部分数据,直接从图片数据开始,即BITMAPINFOHEADER(没写错哦)。
 
 
上面过程当RAV=RAW(在可执行文件中的偏移)情况,但多数情况下这两个值均不相等。
如何得到RAV和RAW和偏移呢(offset):
在IMAGE_OPTION_HEADER 结构之后就是数个IMAGE_SECTION_HEADER(区表),每个区表关联一种资源的信息,个数由IMAGE_NT_HEADERS.FileHeader.NumberOfSe-
ctions指定,在区表结构有一个字段是PointerToRawData, 即表示块在磁盘文件中的偏移。
记住这个RAW,并算出其与RAV的offset 。在后面给出的许多地址均是RAV,通过这个
offset就可计算出其对应的RAW。
 
下面的代码给出查找EXE文件中第一个图标数据所在磁盘文件的编移和大小(代码比较凌乱):
 
CFileDialog dlg ( TRUE ) ;
if( dlg.DoModal() != IDOK )
         return ;
 
HANDLE hFile = CreateFile( dlg.GetPathName() , GENERIC_READ | GENERIC_WRITE,
                                              FILE_SHARE_READ | FILE_SHARE_WRITE , NULL , OPEN_EXISTING ,
                                              FILE_ATTRIBUTE_NORMAL , NULL ) ;
if( hFile == INVALID_HANDLE_VALUE )
         return ;
 
HANDLE hMap = ::CreateFileMapping( hFile , NULL ,
PAGE_READWRITE , 0 , ::GetFileSize(hFile,NULL)+1 , NULL ) ;
        
if( hMap )
{
         LPVOID buffer = ::MapViewOfFile( hMap , FILE_MAP_WRITE | FILE_MAP_READ , 0 , 0 , 0 ) ;
         if( buffer )
         {
                                              
                  IMAGE_DOS_HEADER *pDosHeader = (IMAGE_DOS_HEADER *)buffer ;
                  IMAGE_NT_HEADERS *pNtHeader = (IMAGE_NT_HEADERS *)((DWORD)buffer
+ pDosHeader->e_lfanew ) ;
                           
 
                  DWORD dwNumberOfSections = pNtHeader->FileHeader.NumberOfSections ;
                  IMAGE_SECTION_HEADER *pSectionHeader = (IMAGE_SECTION_HEADER *)
((DWORD)pNtHeader + sizeof(IMAGE_NT_HEADERS) ) ;
 
                  for( DWORD i = 0 ; i < dwNumberOfSections ; i ++ )
                   {
                            if( lstrcmp( (char *)pSectionHeader->Name , ".rsrc" ) == 0 )
                                     break ;
                            pSectionHeader ++ ;
                   }
 
                   if( i < dwNumberOfSections )
                   {
                            DWORD dwOffsetRavToRaw = pNtHeader->OptionalHeader.DataDirectory[2].
VirtualAddress –>pSectionHeader->PointerToRawData ;
                                                                                                               
                            IMAGE_RESOURCE_DIRECTORY *pResourceDirect =
(IMAGE_RESOURCE_DIRECTORY *)
                                        ((DWORD)buffer + pSectionHeader->PointerToRawData ) ;
 
                            TRACE("res section rav:%x/n " , pNtHeader->OptionalHeader.
DataDirectory[2].VirtualAddress ) ;
                            TRACE("res raw: %x/n" , pSectionHeader->PointerToRawData ) ;
 
                                    
                            IMAGE_RESOURCE_DIRECTORY_ENTRY *pEntry =
(IMAGE_RESOURCE_DIRECTORY_ENTRY *)
                                              ( (DWORD)pResourceDirect + sizeof(IMAGE_RESOURCE_DIRECTORY) ) ;
                                    
                            int nRes = pResourceDirect->NumberOfIdEntries +
pResourceDirect->NumberOfNamedEntries ;
                                    
                            for( int i = 0 ; i < nRes ; i ++ )
                            {
                                     if( pEntry->Id == 3 )
                                     {
                                              TRACE("icon entry is %x/n" , pEntry->OffsetToData ) ;
                                               break;
                                     }
                                     pEntry ++ ;
                            }
                                    
                                    
                                    
                                    
                            int offset = pEntry->OffsetToData ;
                            if( offset & 0x80000000 )
                                     offset &= 0x7FFFFFFF ;
                            TRACE("%x/n" , offset ) ;
                                    
                            IMAGE_RESOURCE_DIRECTORY *pIconDirect =
(IMAGE_RESOURCE_DIRECTORY *)((DWORD)pResourceDirect + offset ) ;
                                    
                            IMAGE_RESOURCE_DIRECTORY_ENTRY *pIconEntry =
(IMAGE_RESOURCE_DIRECTORY_ENTRY *)((DWORD)pIconDirect + 16);
                                    
                            offset = pIconEntry->OffsetToData ;
                            if( offset & 0x80000000 )
                                     offset &= 0x7FFFFFFF ;
                            TRACE("%x/n" , offset ) ;
                                    
                                    
                            pIconEntry = (IMAGE_RESOURCE_DIRECTORY_ENTRY *)
((DWORD)pResourceDirect + offset +16 ) ;
                            offset = pIconEntry->OffsetToData ;
                            if( offset & 0x80000000 )
                                     offset &= 0x7FFFFFFF ;
                            TRACE("%x/n" , offset ) ; // offset = 0x168
                                    
pIconEntry=(IMAGE_RESOURCE_DIRECTORY_ENTRY *)((DWORD)
pResourceDirect + offset ) ;
                                    
                            int icon_offset = pIconEntry->Name ;
                            int icon_size = pIconEntry->OffsetToData ;
                                    
                                                                
                            CString str ;
                                    
                            str.Format(" ICON 's RVA = %X , RAW = %X , size = %X /n" ,
                                              icon_offset , icon_offset - dwOffsetRavToRaw,
                                              icon_size ) ;
                            AfxMessageBox( str ) ;
                                    
                   }
                  ::UnmapViewOfFile( buffer ) ;
         }
 
         ::CloseHandle( hMap ) ;
       ::CloseHandle( hFile ) ;
 
lbird
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
c++实现PE文件图标提取
HeroNeverDie的博客
01-06 2548
PE文件的图标资源是储存在资源表的,其图标ID为3 图标组ID为14 只要遍历图标组得到图标头数据和对应图标ID 再根据图标ID遍历资源表得到图标数据 然后合成完整图标数据就可以了,以下为具体实现代码… #include "stdafx.h" #include #include #include using namespace std; //根据内存偏移地址RVA得到文件偏移地址
PE文件信息查询及图标提取
无题
11-04 2855
//resource.h //{{NO_DEPENDENCIES}} // Microsoft Visual C++ generated include file. // Used by PE.rc // #define IDD_DIALOG 101 #define IDR_MENU1 102
获取PE资源图标
03-25
VB完整获取PE资源文件图标,包括图标文件的保存!
icoextract:从Windows PE文件(.exe.dll)提取图标
02-15
提取物 icoextract是使用Python编写的Windows PE文件(.exe / .dll)的图标提取器。 它还包括用于Linux桌面的缩略图脚本( exe-thumbnailer )。 这个项目的灵感来自 , 和其他。 icoextract的目标是: 轻的 便携式(跨平台) 快速处理大文件 安装 您可以通过pip安装项目: pip3 install icoextract[thumbnailer] 在Linux上,您可以选择通过将复制到/usr/local/share/thumbnailers/ 用法 icoextract附带了icoextract和icolist脚本以提取并列出可执行文件图标资源: usage: icoextract [-h] [-V] [-n NUM] [-v] input output Windows PE EXE icon extracto
ToYcon.exe EXE/DLL/PE文件 简单ico、png 图标提取工具
09-01
ToYcon.exe EXE/DLL/PE文件 简单ico、png 图标提取工具
PE文件格式分析源码C++
09-28
本文将深入探讨PE文件格式及其在C++编程的应用,特别是使用MFC(Microsoft Foundation Classes)框架进行分析的方法。 首先,我们要了解PE文件的基本结构。一个PE文件由多个节(Section)组成,每个节包含特定...
详解详解windows的PE文件格式.zip_PE 文件格式_PE格式解析_windows PE
09-23
PE文件的资源表存储了各种类型的资源,如图标(ICO)、位图(BMP)、字符串、对话框模板等。这些资源在程序运行时可以被动态地访问和使用。 ### 5. 程序入口点 每个PE文件都有一个程序入口点(Entry Point),这...
PE文件版本信息模块.rar
04-06
通过学习和理解这个源码,开发者能够加深对PE文件格式的理解,提高逆向工程和软件分析的能力。 需要注意的是,由于易语言的语法和特性与传统的C/C++、Java等语言有所不同,因此在阅读源码时,需要熟悉易语言的语法...
PEview - 打开Windows平台PE格式文件的小工具
最新发布
11-20
无论是为了学习PE文件格式,还是进行逆向分析和调试,PEview都是一款不可或缺的实用工具。通过深入理解PE文件的组成和PEview的使用,开发者和安全专家能够更好地理解和操作Windows平台上的软件。
2-PE格式分析取得图标资源
07-30
PE文件格式是Windows系统可执行文件和动态链接库(DLL)的标准格式。在这个话题,我们将深入探讨PE结构,特别是与图标资源相关的部分。 PE文件由头文件和数据目录组成,头文件提供了关于PE文件的基本信息,如...
PE文件头格式图表 详细介绍(BMP图片形式)
12-01
PE文件头格式(BMP图片形式),详细介绍 PE 文件的大致布局,PE 表头(PE Header),在 PE 表头和真正的 section 资料之间,横躺着一个 section table 。其内含 image 的 每一个sections 的信息。sections 是以其起始地址来排列,而不是以其字母次序来排列。
pe图表(汇编语言)
03-09
这是你可以看到的最清晰的PE图表.3620X600
delphi读写PE文件
04-18
delphi读取PE文件很好的学习例子,在PE文件结尾追加数据。
修改PE文件位图和图标 C语言源代码 适合想了解PE文件资源组织方式的读者
11-22
修改或导出PE文件的位图和图标,源程序是用C语言+Windows API编写的,适合想要了解PE文件结构、PE文件资源组织方式、以及位图、图标组织方式的读者。
用 Visual Studio 导出EXE、DLL等PE文件图标
weixin_40620829的博客
03-08 968
1、打开VS2019; 2、菜单,文件->打开->文件,打开PE文件,比如打开有道云笔记; 3、展开“Icon”节点 Icon下面就是可以 导出的图标了,比如双击128,这里就是有道云笔记的显示图标: 4、导出图标 是不是感觉很方便? ...
PE文件资源解析(二)图标资源的解析
老狼的专栏
04-21 678
EnumResourceLanguages回调函数里面涵盖了我们所需要的几个参数信息,定义如下: BOOL CALLBACK EnumResourceLanguagesProc( HMODULE hModule,//PE文件实例句柄 LPCSTR lpType, //资源类型 LPCSTR lpName, //资源名称 WORD wLa...
pe32提取图标,并且更改。
icatchyou的专栏
08-20 419
目前进行的阶段是b提取图标,但是更改失败。
Win32 提取图标_修改标题,PE结构的资源表
lygl35的博客
03-07 251
设置图标 PE结构的资源表 位段或位域结构 1、对位的精确控制 2、这个union联合体结构存储内容的含义,要通过最高位是1还是0来决定 图标提取工具
PE文件解析-资源的位图、图标与光标结构
zhyulo的博客
01-14 2027
一、概述     想要获取一个可执行文件(PE文件)里包含的资源文件,首先要解析可执行文件,得到资源存储的地址及大小,可参考 https://blog.csdn.net/zhyulo/article/details/85717711 。然后,根据资源存储方式,得到各资源的数据内容及其大小,可参考 https://blog.csdn.net/zhyulo/article/details/85930...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值