PE资源结构及读取

最新推荐文章于 2024-08-09 07:00:00 发布
最新推荐文章于 2024-08-09 07:00:00 发布
阅读量2.5k 收藏
点赞数
文章标签: null exception dialog string microsoft image
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lisunlin0/article/details/2027787
版权
本文深入探讨了Windows可执行文件(PE)的资源结构,包括对话框、字符串、图像等,并详细阐述了如何从PE文件中提取和读取这些资源。通过实例解析,了解微软的资源管理机制,有助于提升对Windows程序逆向分析和二进制修改的理解。
摘要由CSDN通过智能技术生成

 

PE 资源结构及读取
作者: Sunline               lisunlin0@yahoo.com.cn       2007 7
源代码下载 :http://download.csdn.net/source/359338   其中的 Source 文件夹中 .

       下面的一些函数是我在学习 PE 结构时参考 Matt Pietrek 的《 A Tour of the Win32 Portable Executable File Format 》和 Microsoft 的《 Visual Studio, Microsoft Portable Executable and Common Object File Format Specification 》以及部分网上的代码所写成的,是研究如何直接读取 PE 资源的一手资料 ( 比如其中的 LoadString LoadAccelerators LoadMenu LoadIcon 函数,没有其它任何可用的参考资料 , VC 调试时跟踪到相应的函数内部,通过汇编代码和自己丰富的想象力才搞清楚的。 ) ,希望可以给研究 PE 格式的朋友一些帮助。其中大部分是自己 Debug 得出的,可能有不妥的地方,敬请斧正。
// ResFunc.cpp
// 描述:
//             从PE文件中取得资源
// 作者:
//             SunLine 2007年07月
// Description:
//             get resources from a pe module
// Authority:
//             Write by Sunline July, 2007
// All rights reserved.
 
 
#include <windows.h>
#include "ResFunc.h"
#include "libc.h"
 
extern "C"
{     
       DWORD __stdcall _SizeofResource(HMODULE hModule, HRSRC hResInfo)
       {
              DWORD dwRet;
              if(hResInfo)
                     dwRet = PIMAGE_RESOURCE_DATA_ENTRY(hResInfo)->Size;
              else
                     dwRet = 0;
              return dwRet;
       }
 
       HGLOBAL __stdcall _LoadResource( HMODULE hModule, HRSRC hResInfo)
       {
              HGLOBAL hRet;
              if(hResInfo)
                     hRet = HGLOBAL((LPBYTE)hModule + PIMAGE_RESOURCE_DATA_ENTRY(hResInfo)->OffsetToData);
              else
                     hRet = NULL;
              return hRet;
       }
 
       LPVOID __stdcall _LockResource(HGLOBAL hResData)
       {
              return (LPVOID)hResData;
       }
 
       HRSRC   __stdcall _FindResourceA( HMODULE hModule, LPCSTR lpName, LPCSTR lpType)
       {
              return _FindResourceExA(hModule, lpType, lpName, 0);
       }
       HRSRC   __stdcall _FindResourceW( HMODULE hModule, LPCWSTR lpName, LPCWSTR lpType)
       {
              return _FindResourceExW(hModule, lpType, lpName, 0);
       }
 
       HRSRC   __stdcall _FindResourceExA(HMODULE hModule, LPCSTR lpType, LPCSTR lpName, WORD wLanguage)
       {
              HRSRC hRsrc = NULL;
              WCHAR wTypeName[MAX_PATH];
              WCHAR wResName[MAX_PATH];
              LPWSTR pwTypeName;
              LPWSTR pwResName;
              if(MAKEINTRESOURCEA(lpType) == lpType)
              {
                     pwTypeName = (LPWSTR)lpType;
              }
              else
              {
                     int nTypeLen = lstrlenA(lpType) + 1;
                     int nUnicodeStrLen = nTypeLen * sizeof(WCHAR);
                     pwTypeName = (LPWSTR)_malloc(nUnicodeStrLen);
                     nUnicodeStrLen = MultiByteToWideChar(CP_ACP, MB_PRECOMPOSED, /
                            lpType, nTypeLen, wTypeName, nUnicodeStrLen);
                     pwTypeName = wTypeName;
              }
 
              if(MAKEINTRESOURCEA(lpName) == lpName)
              {
                     pwResName = (LPWSTR)lpName;
              }
              else
              {
                     int nNameLen = lstrlenA(lpName) + 1;
                     int nUnicodeStrLen = nNameLen * sizeof(WCHAR);
                     nUnicodeStrLen = MultiByteToWideChar(CP_ACP, MB_PRECOMPOSED, /
                            lpType, nNameLen, wResName, nUnicodeStrLen);
                     pwResName = wResName;
              }
 
              if(pwTypeName && pwResName)
              {
                     hRsrc = _FindResourceExW(hModule, pwTypeName, pwResName, wLanguage);
              }
              else
                     hRsrc = NULL;
              return hRsrc;
       }
 
       HRSRC   __stdcall _FindResourceExW(HMODULE hModule, LPCWSTR lpType, LPCWSTR lpName, WORD wLanguage)
       {
              PIMAGE_RESOURCE_DATA_ENTRY res = NULL;
              if(hModule == NULL)
                     hModule = GetModuleHandleW(NULL);
              if((lpName != 0) && (lpType != 0))
              {
                     if(!hModule)
                            hModule = GetModuleHandleA(NULL);
                     PIMAGE_RESOURCE_DIRECTORY pResDir = PIMAGE_RESOURCE_DIRECTORY( /
                            LPBYTE(hModule) + PIMAGE_NT_HEADERS((LPBYTE)hModule + /
                            PIMAGE_DOS_HEADER(hModule)->e_lfanew)->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_RESOURCE].VirtualAddress/
                            );
                     ProcRes(res, hModule, LPBYTE(pResDir), pResDir, LEVELE_RESDIR, lpName, lpType, wLanguage);
              }
              return (HRSRC)res;
       }
 
       // Accelerators function
       HACCEL __stdcall _LoadAcceleratorsA( HINSTANCE hInst, LPCSTR lpTableName)
       {
              int nAccItem = 0;
              PACCTABENTRY pAccTabEntry = (PACCTABENTRY)_GetResDataA(hInst, lpTableName, (LPCSTR)RT_ACCELERATOR);
              for(nAccItem = 0; TRUE; nAccItem++)
              {
                     WORD wFlags = pAccTabEntry[nAccItem].fFlags;
                     if(wFlags & 0x80) // The entry is last in an accelerator table.
                     {
                            if(wFlags & 0x60) // 0x60 is binary 01100000, the low 5 bits is legal;
                                   nAccItem = 0;
                            else
                                 
最低0.47元/天 解锁文章
sunlin7
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
改文件pe斗的软件。本人用vb写的
01-06
改文件pe头改文件pe头改文件pe头改文件pe头改文件pe头改文件pe头改文件pe头改文件pe头改文件pe头改文件pe头改文件pe头改文件pe头改文件pe
读取PE文件的资源
weixin_33910460的博客
09-10 422
    在上一篇文章里,已经讲解了加载PE文件的导入表。本篇简要介绍PE文件的资源表的结构和定位方式。 所谓资源表(resource table),就是通常在IDE的资源视图中所看到的那个Tree视图,因此资源表在PE文件中同样是这样的一种类似资源管理器一样的树状逻辑结构。     对树,我们不能想类似导入表那样当作线性表中的数组去比较简单直观的加载,而是要用递归函数去重建,这是因为树的定义就...
FindResourceA( )函数
yellow的博客
05-14 5093
样本使用FindResourceA( )查找资源,类型是"XIA",名称2058,在MSDN里面怎么也找不到类型是"XIA"的资源,后来使用Resource Hacker打开样本有如下信息: 还真有类型"XIA"(资源前两个字节是PK,ZIP压缩文件) 调用完FindResourceA( )还会有如下的一系列调用: hMoule=FindResourceA( NULL, 2058, ...
VC++ FindResource加载资源失败
老狼的专栏
01-09 1655
接口原型: HRSRC FindResourceA( _In_opt_ HMODULE hModule, _In_ LPCSTR lpName, _In_ LPCSTR lpType ); hModule资源模块句柄,获取方式有: HINSTANCE hModule= AfxGetResourceHandle(); HINSTANCE h...
PE结构资源
SMOne
06-27 2989
一、前言 二、PE整体结构 三、DOS头 四、NT头 五、区段头 六、导出表 七、导入表 八、资源表 九、其他表 1.概念 程序中通常包含图片、菜单、控件、不同样式的文本等多种多样的内容。 这些内容或界面元素,都以二进制的形式保存在PE文件中。 这些数据保存的位置,就是PE文件的资源段(.rsrc) 这些数据的组织格式,我们成为资源表 2.资源表定...
Windows PE资源表编程(枚举资源树)
天使也掉毛
02-08 2160
资源枚举     写一个例子,枚举一个PE文件的资源表。首先说下资源相关的作为铺垫。 1.资源类型也是PE可选头中数据目录的一种。位于第三个类型。 2.资源目录分为三层。第四层是描述文件相关的。这些结构是按照二叉排序树的结构存的。每一个节点都可以看成是一段连续的数据块(1个资源目录头+n个资源目录项)。 3.整体基本结构: OK,基础知识就简单说这些。如果还是
PE资源结构读取.txt
06-21
下面将详细阐述PE资源结构的基本概念、组成部分以及如何读取这些资源。 ### PE资源结构 PE资源结构PE文件格式中一个重要的组成部分,它用于存储应用程序的各种资源,如图标、菜单、位图、字符串表、对话框模板等...
PE结构查看.rar
04-05
标题中的“PE结构查看”指的是在Windows操作系统中对可执行文件(.exe或.dll)的分析,这些文件基于Portable Executable (PE) 文件格式。PE格式是Microsoft为32位和64位Windows系统设计的一种文件格式,用于存储编译...
etap.rar_ETAP_PE资源
09-23
《ETAP_PE资源详解——深入理解PE文件结构与解析》 在Windows操作系统中,可执行文件(EXE、DLL等)通常遵循Portable Executable (PE) 文件格式。本篇文章将详细探讨PE文件的结构,包括节表(Section Table)、DATA...
易语言PE文件资源查看
08-22
4. **枚举资源**:PE文件的资源是可以被枚举的,通过遍历文件的资源目录,可以获取到所有资源的名称和类型,这对于查看和管理资源非常有用。 5. **创建数据库**:在处理大量资源时,创建数据库可以有效地存储和检索...
获取PE文件的导入表
04-02
获取PE文件的导入表中模块和API信息的源代码
PE文件资源修改工具包
09-03
PE文件资源修改工具,可修改PE文件的各种资源:字符串、图片等。含有使用Resource Hacker工具
获取PE资源图标
03-25
总结来说,获取PE资源图标涉及的知识点包括: 1. PE文件格式和资源结构 2. VB中访问系统资源的方法 3. 使用P/Invoke调用Windows API 4. 图标资源的处理,如`ICONINFO`结构体 5. 文件I/O操作,如保存图片文件 通过...
PE-资源
megaparsec
12-19 1806
PE资源PE中的相关资源可以通过程序进行深度定位,所获取的二进制字节码与资源脚本语句之间是一一对应的这些数据可能是源代码内部需要用到的常景,比如 菜单选项、界面描述等;也可能是源代码外部的,比如程序的图标文件、背景音乐文件、配置 文件等,以上这些数据统称为资源
pe文件解析:读取pe信息获取文件资源
热门推荐
天道酬勤
03-01 1万+
查看过关于pe文件分析的文章: (1)http://www.vckbase.com/document/viewdoc/?id=1334 (2)http://www.vckbase.com/document/viewdoc/?id=1335 (3)http://www.cppblog.com/aurain/archive/2009/06/29/88771.html (4)http
PE 资源
不会写代码的丝丽
05-01 707
前言 我们在window开发中需要很多资源比如ico和accelerator,dialog这些资源都被存放在PE文件的.rsrc节中。 首先我们需要明白PE存储方式才好解析: 首先是三个三级目录最后才是真正的资源,其中第三个目录使用LCID进行区分地区.具体参阅 谈谈Windows程序中的字符编码 //winnt.h #define IMAGE_DIRECTORY_ENTRY_RESOURCE 2 // Resource Directory 我们举例某个工程 你可以看到这个工程有两个
PE文件格式中数据目录项中的资源
qq_35426012的博客
11-16 418
资源资源表地址在数据目录的数组下标为2的地方,定位到资源表后就可以遍历资源 资源是树形结构,一般有3层 根目录 子目录 文件 根目录结构结构体如下定义 typedef struct _IMAGE_RESOURCE_DIRECTORY { DWORD Characteristics;          资源属性 DWORD TimeDateStamp;        ...
《系统架构设计师教程(第2版)》第13章-层次式架构设计理论与实践-04-数据访问层设计
最新发布
运维玄德公
08-09 785
《系统架构设计师教程(第2版)》笔记,第13章-层次式架构设计理论与实践-04-数据访问层设计
Windows PE文件结构详析与关键数据结构解析
PE文件结构详解是一篇深入解析Windows NT引入的PE(Portable Executable)文件格式的文章。PE文件格式是在Windows NT 3.1中启用的一种新的可执行文件格式,它的设计灵感来源于UNIX的COFF规范,同时为了保持向后兼容...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值