PE总结15--PE文件结构之 解析资源表

最新推荐文章于 2023-09-08 09:37:23 发布
最新推荐文章于 2023-09-08 09:37:23 发布
阅读量708 收藏
点赞数
分类专栏: PE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oBuYiSeng/article/details/50261431
版权 
// helloworld1.cpp : 定义控制台应用程序的入口点。
//

#include "stdafx.h"
#include <windows.h>

DWORD RVA2OffSet(DWORD dwRVA, PIMAGE_NT_HEADERS32  pNt)
{
    DWORD dwOffset = 0;
    // 1. 获取第一个区段结构体
    PIMAGE_SECTION_HEADER pSection = IMAGE_FIRST_SECTION(pNt);
    // 2. 获取区段数量
    DWORD dwSectionCount = pNt->FileHeader.NumberOfSections;
    // 3. 遍历区段信息表
    for (DWORD i = 0; i < dwSectionCount; i++)
    {
         // 4. 匹配RVA所在的区段
         if (dwRVA >= pSection[i].VirtualAddress &&
             dwRVA < (pSection[i].VirtualAddress + pSection[i].Misc.VirtualSize)
             )
         {   // 计算对应的文件偏移
             dwOffset = dwRVA - pSection[i].VirtualAddress +
                 pSection[i].PointerToRawData;
             return dwOffset;
         }
    }
    return dwOffset;
}


 
void ShowReloc(PVOID lpImage, DWORD dwSize)
{
    // 1. 获取DOS头
    PIMAGE_DOS_HEADER pDos = (PIMAGE_DOS_HEADER)lpImage;
    // 2. 获取NT头
    PIMAGE_NT_HEADERS32  pNt = (PIMAGE_NT_HEADERS32)((DWORD)lpImage + pDos->e_lfanew);
    // 3. 获取数据目录表
    PIMAGE_DATA_DIRECTORY pRelocDir = pNt->OptionalHeader.DataDirectory;
    pRelocDir = &(pRelocDir[IMAGE_DIRECTORY_ENTRY_BASERELOC]);
    DWORD dwOffset = RVA2OffSet(pRelocDir->VirtualAddress, pNt);
    // 4. 获取重定位目录
    PIMAGE_BASE_RELOCATION pReloc = (PIMAGE_BASE_RELOCATION)((DWORD)lpImage + dwOffset);
    typedef struct {
         WORD Offset : 12;           // (1) 大小为12Bit的重定位偏移
         WORD Type : 4;              // (2) 大小为4Bit的重定位信息类型值
    }TypeOffset, *PTypeOffset;     // 这个结构体是A1Pass总结的

    while (pReloc->VirtualAddress)
    {
         printf("重定位RVA基址:%p \n", pReloc->VirtualAddress);
         PTypeOffset pTypeOffset = (PTypeOffset)(pReloc + 1);
         DWORD dwSize = sizeof(IMAGE_BASE_RELOCATION);
    //   DWORD dwCount = (pReloc->SizeOfBlock - dwSize) / 2 - 1;
         DWORD dwCount = (pReloc->SizeOfBlock - dwSize) / 2 - 1;
         for (DWORD i = 0; i < dwCount; i++)
         {
             DWORD dwRVA = pReloc->VirtualAddress + pTypeOffset[i].Offset;
             printf("->重定位RVA:%p,重定位文件偏移:%p,需要重定位的代码:%p\n",
                 dwRVA,
                 RVA2OffSet(dwRVA, pNt),
                 *(PDWORD)((DWORD)lpImage + RVA2OffSet(dwRVA, pNt)));

         }
         pReloc = (PIMAGE_BASE_RELOCATION)((DWORD)pReloc + pReloc->SizeOfBlock);
    }

}

int _tmain(int argc, _TCHAR* argv[])
{
    HANDLE hFile = nullptr;
    DWORD  dwSize = 0;
    PVOID  lpFileImage = nullptr;
    LPCTSTR strInPath = L"C:\\Users\\Denny\\Desktop\\(手动查找导入导出表)\\(手动查找导入导出表)\\MFCLibrary1Dll.dll";
    //LPCTSTR strInPath = L"E:\\第八期\\2.第八期项目\\05.安全卫士\\1 郭晓勃 111\\Realse\\SAFE.exe";
    if (INVALID_HANDLE_VALUE == (hFile = CreateFile(strInPath, GENERIC_READ, FILE_SHARE_READ, NULL, OPEN_EXISTING, 0, NULL)))
         return false;
    if (INVALID_FILE_SIZE == (dwSize = GetFileSize(hFile, NULL)))
    {
         CloseHandle(hFile);
         return false;
    }
    if (!(lpFileImage = VirtualAlloc(NULL, dwSize, MEM_COMMIT, PAGE_READWRITE)))
    {
         CloseHandle(hFile);
         return false;
    }
    DWORD dwRet;
    if (!ReadFile(hFile, lpFileImage, dwSize, &dwRet, NULL))
    {
         CloseHandle(hFile);
         VirtualFree(lpFileImage, 0, MEM_RELEASE);
         return false;
    }

    ShowReloc(lpFileImage, dwSize);
    //ShowImport(lpFileImage, dwSize);
    return 0;
}

布衣僧
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE文件格式总结 - DOS文件头、PE文件头、节详解
dvlinker的技术专栏
11-28 1万+
PE文件格式总结 - DOS文件头、PE文件头、节详解
Windows PE文件结构解析
07-03
解析PE文件结构(开发语言为C++,开发工具为QtCreator),代码完成了PE文件各个头结构解析,数据目录解析,导出,导入资源等常见解析。代码中难免有BUG,由于时间关系,本人未修复,但是对于那些想了解PE文件结构的小伙伴们这是个不错的参考资料。网上的大多资料都是互相转载,很多错误,本人没少走弯路。PE文件解析工具的开发文档由于对本人还有用处,最近两年内不能公开,有需要的可以私下里联系我QQ:1909631452(路痴),可以给你个人,但是也请不要在两年内公开。
PE地址名词总结及基本概念
u011636170的专栏
10-25 1125
1地址   PE文件中涉及的地址有四类 1虚拟内存地址(VA)     PE文件对应的进程支配了自己独立的4GB虚拟空间,在这个空间定位的地址是VA,VA的范围是4GB。在VA中VA=进程基地址+RVA.   2相对虚拟内存地址(RVA)    模块:同时加载到进程空间的文件,如一个进程和同时要加载的动态链接库都是模块          每个模块都有一个基地址。如果两个模块的基地
2.8 PE结构资源详细解析
最新发布
CSDN
09-08 4730
在Windows PE中,资源是指可执行文件中存放的一些固定不变的数据集合,例如图标、对话框、字符串、位图、版本信息等。PE文件中每个资源都会被分配对应的唯一资源ID,以便在运行时能够方便地查找和调用它们。PE文件中的资源都被组织成一个树形结构,其中最顶层为根节点(Root),下一级为资源类型(Type),再下一级为资源名称(Name),最终是实际的资源内容。
PE-资源
megaparsec
12-19 1680
PE资源 PE中的相关资源可以通过程序进行深度定位,所获取的二进制字节码与资源脚本语句之间是一一对应的这些数据可能是源代码内部需要用到的常景,比如 菜单选项、界面描述等;也可能是源代码外部的,比如程序的图标文件、背景音乐文件、配置 文件等,以上这些数据统称为资源
WIN32汇编语言程序设计——查看PE资源
evagenius的博客
03-29 269
这么多种类型的不同ID的资源是用类似于磁盘目录结构的方式组织起来的。也就是按照根目录→资源类型→资源ID的3层树型目录结构来组织资源,只不过在第3层目录中放置的代码页“文件”不是资源本身而是一个用来描述资源结构罢了,通过这个结构中的指针才能最后找到资源数据。PE文件资源中的内容包括光标、图标、位图、菜单等十几种标准的类型,除此之外,还可以使用自定义的类型。每种类型的资源中可能存在多个资源项,这些资源项用不同的ID或者名称来分辨,在某个资源ID下,还可以同时存在不同代码页的版本。
PE 资源
不会写代码的丝丽
05-01 655
前言 我们在window开发中需要很多资源比如ico和accelerator,dialog这些资源都被存放在PE文件的.rsrc节中。 首先我们需要明白PE存储方式才好解析: 首先是三个三级目录最后才是真正的资源,其中第三个目录使用LCID进行区分地区.具体参阅 谈谈Windows程序中的字符编码 //winnt.h #define IMAGE_DIRECTORY_ENTRY_RESOURCE 2 // Resource Directory 我们举例某个工程 你可以看到这个工程有两个
PE文件解析资源解析
zhang14916的博客
12-19 1122
根据PE文件格式我们可以快速找到目录数组位置,在目录数组中我们可以找到资源在哪里 我们看出资源位置为0x4000,大小为0xb20。 资源所对应数据结构为IMAGE_RESOURCE_DIRECTORY typedef struct _IMAGE_RESOURCE_DIRECTORY {           DWORD   Characteristics;         ...
PE结构资源
SMOne
06-27 2935
一、前言 二、PE整体结构 三、DOS头 四、NT头 五、区段头 六、导出 七、导入 八、资源 九、其他 1.概念 程序中通常包含图片、菜单、控件、不同样式的文本等多种多样的内容。 这些内容或界面元素,都以二进制的形式保存在PE文件中。 这些数据保存的位置,就是PE文件资源段(.rsrc) 这些数据的组织格式,我们成为资源 2.资源定...
PEInfo.zip_peinfo_pe解析
09-23
C语言和SDK实现,解析PE格式文件,比如导入,导出资源,重定位
pe文件解析:读取pe信息获取文件资源(源码)
03-01
读取pe信息获取文件资源 vc编写 不够长
PE资源分析
01-08
PE资源分析,用于分析可执行文件里的资源。不要分,只为共享。
portable-executable-library:PE Bliss - 跨平台可移植可执行 C++ 库
06-09
高级 .NET PE 解析(元数据、签名、资源); C++/CLI 包装器,允许 .NET 开发人员在 C# 或 VB.NET 项目中使用库; 更多的样品和测试; bug修复。 当前版本:1.0.0概括[+] 为 Windows 读取 32 位和 64 位 PE
PE文件格式读取 源码
12-28
PE文件数据的读取,显示PE文件资源,导入导出,节等信息,对资源进行了深入的分析
PE解析器(C语言).zip
08-19
使用C语言完成PE解析器,对未加壳状态下的PE文件进行解析,查看其基本信息、导入、导出资源
PE总结1---在010Editor中使用二进制模板
oBuYiSeng的博客
11-18 9942
1、010Editor模板获取,有两种方式 1)直接访问http://www.sweetscape.com/010editor/templates/获取相应的模板即可 2)点击Templates选项--Online Template Repository...会跳转到1)中的网址中,根据需要获取并保持到本地即可 2、将模板导入到010Editor中       点击Template
PE总结12---PE文件结构资源 (IMAGE_RESOURCE_DIRECTORY)
oBuYiSeng的博客
12-11 7121
资源PE中是以目录的形式存在的,一般有3层:资源类型,目标资源ID与资源代码页 都是以IMAGE_RESOURCE_DIRECTORY结构为头部的,并且后面跟着一个IMAGE_RESOURCE_DIRECTORY_ENTRY结构数组。 IMAGE_RESOURCE_DIRECTORY,负责指出后面数组中的成员个数 IMAGE_RESOURCE_DIRECTORY_ENTRY,数组成员分
PE总结7---PE文件结构NT头之数据目录 IMAGE_DATA_DIRECTORY
oBuYiSeng的博客
12-09 6753
IMAGE_DATA_DIRCTORY结构如下: typedef struct _IMAGE_DATA_DIRECTORY { DWORD VirtualAddress; //相对虚拟地址 DWORD Size;      //大小 } IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY;   data directory数据目录在WINNT.H中定义为
PE总结14---PE文件结构之重定位 (IMAGE_BASE_RELOCATION)
oBuYiSeng的博客
12-11 5684
重定位就是你本来这个程序理论上要占据这个地址,但是由于某种原因,这个地址现在不能让你霸占,你必须转移到别的地址,这就需要基址重定位。 // 【基址重定位位于数据目录的第六项,共8 + N字节】 typedef struct _IMAGE_BASE_RELOCATION { DWORD VirtualAddress; //重定位数据开始的RVA 地址 DWORD SizeOfBloc
如何解析PE文件资源
03-12
作为一个类 ChatGPT 的 AI,我可以告诉您,解析 PE 文件资源可以使用一些专门的工具,例如 Resource Hacker、PE Explorer 等。这些工具可以帮助您查看 PE 文件中的资源,包括资源类型、资源名称、资源大小等...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值