PE文件格式中数据目录项中的资源表

最新推荐文章于 2022-12-12 17:00:41 发布
最新推荐文章于 2022-12-12 17:00:41 发布
阅读量413 收藏
点赞数
分类专栏: PE文件格式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35426012/article/details/103094086
版权

资源表

资源表地址在数据目录的数组下标为2的地方,定位到资源表后就可以遍历资源
资源是树形结构,一般有3层 根目录 子目录 文件
  1. 根目录结构结构体如下定义
typedef struct _IMAGE_RESOURCE_DIRECTORY {
    DWORD   Characteristics;          资源属性
    DWORD   TimeDateStamp;           时间戳
    WORD    MajorVersion;            资源大版本号
    WORD    MinorVersion;            资源小版本号
    WORD    NumberOfNamedEntries;       按照名称命名的数量
    WORD    NumberOfIdEntries;         按照ID命名的数量//  IMAGE_RESOURCE_DIRECTORY_ENTRY DirectoryEntries[];
} IMAGE_RESOURCE_DIRECTORY, *PIMAGE_RESOURCE_DIRECTORY;	//只有后面两个字段是重要的
  1. 资源目录项(子目录)结构体定义如下
ypedef struct _IMAGE_RESOURCE_DIRECTORY_ENTRY 
{
    union 
    {
        struct 
        {
            DWORD NameOffset:31;          位段:31位位是偏移 定义了目录项的名称或者ID
            DWORD NameIsString:1;          位段: 高位, 如果这位为1,则表示31位的偏移指向的是一个Unicode字符串的指针偏移
        };                      这里列出结构体,自己去看,IMAGE_RESOURCE_DIR_STRING_U 里面是字符串长度还有字符串,不是\0结尾         
        DWORD   Name;                 
        WORD    Id;
    };
    union 
    {
        DWORD   OffsetToData;            偏移RVA因为是联合体,所以有不同的解释
        struct 
        {
            DWORD   OffsetToDirectory:31;    看高位,如果高位是1,那么RVA偏移指向的是新的(根目录)
            DWORD   DataIsDirectory:1;      
        };
    };
} IMAGE_RESOURCE_DIRECTORY_ENTRY, *PIMAGE_RESOURCE_DIRECTORY_ENTRY;

注意点:如果第一4字节高位为0 表示是ID 但是ID有3种表示,如果在第一层目录,也就是根目录下则表示是资源类型,第二层目录(子目录)表示的是资源ID 第3层目录(文件)ID表示的是代码页

3.资源文件定义如下

typedef struct _IMAGE_RESOURCE_DATA_ENTRY {
    DWORD   OffsetToData;          资源数据的偏移RVA
    DWORD   Size;               大小
    DWORD   CodePage;             代码页缓冲(CMD设置窗口的时候就是这个,没用)
    DWORD   Reserved;             保留
} IMAGE_RESOURCE_DATA_ENTRY, *PIMAGE_RESOURCE_DATA_ENTRY;

注意点:只有文件的时候OffsetToData才是RVA ,其他都是节内偏移

宿主病毒
  • 将整个PE文件当资源加载到宿主文件
  • 当宿主文件启动后,释放PE文件的资源
  • 通过资源表或者API获取PE文件所在内存位置
  • 创建新文件,将PE文件拷贝的新的文件中
  • 使用CreateProcess打开新文件,运行PE文件进程
使用API获取资源在内存的位置代码如下
// LoadResourse.cpp : 定义控制台应用程序的入口点。
//

#include "stdafx.h"
#include<windows.h>
#include <string>
#include <WinUser.h>
#include "resource.h"
using namespace std;


void ReportError(std::string strError)
{
    LPVOID lpMsgBuf;
    FormatMessage(
        FORMAT_MESSAGE_ALLOCATE_BUFFER |
        FORMAT_MESSAGE_FROM_SYSTEM |
        FORMAT_MESSAGE_IGNORE_INSERTS,
        NULL,
        GetLastError(),
        MAKELANGID(LANG_NEUTRAL, SUBLANG_DEFAULT), // Default language
        (LPTSTR)&lpMsgBuf,
        0,
        NULL
        );
    printf("%s==>%s", strError.c_str(), (char*)lpMsgBuf);

    LocalFree(lpMsgBuf);

}

int _tmain(int argc, _TCHAR* argv[])
{
    //加载资源
    HMODULE hMoudule = GetModuleHandle(NULL);
    if (hMoudule == NULL)
    {
        ReportError("GetModuleHandle");
    }

    HRSRC hRes = FindResource(hMoudule, MAKEINTRESOURCE(IDR_MYEXE1), "myexe");
    if (hRes == NULL)
    {
        ReportError("FindResource");
    }

    HGLOBAL hResData = LoadResource(hMoudule, hRes);
    if (hResData == NULL)
    {
        ReportError("LoadResource");
    }

    LPVOID lpFileData = LockResource(hResData);
    if (lpFileData == NULL)
    {
        ReportError("LockResource");
    }

    DWORD dwResSize = SizeofResource(hMoudule, hRes);
    if (dwResSize == 0)
    {
        ReportError("SizeofResource");
    }
    //创建文件
    HANDLE hFile = CreateFile(
       "MyExeCopy.exe",
        GENERIC_READ | GENERIC_WRITE,
        NULL,
        NULL,
        OPEN_ALWAYS,
        FILE_ATTRIBUTE_NORMAL,
        NULL);
    if (hFile == INVALID_HANDLE_VALUE)
    {
        ReportError("CreateFile");
    }

    DWORD dwRealWriteSize = 0;
    DWORD dwTotalWriteSize = 0;
    while (dwTotalWriteSize < dwResSize)
    {
        if (!WriteFile(hFile, lpFileData, dwResSize, &dwRealWriteSize, NULL))
        {
            ReportError("WriteFile");
        }
        dwTotalWriteSize += dwRealWriteSize;
    }
    if (!CloseHandle(hFile))
    {
        ReportError("CloseHandle");
    }
   
    TCHAR szExe[] = { "MyExeCopy"};
    PROCESS_INFORMATION stProcessInformation = { 0 };
    STARTUPINFO stStartupInfo = { 0 };
    stStartupInfo.cb = sizeof(stStartupInfo);
    BOOL bRet = CreateProcess(
        NULL,
        szExe,
        NULL,
        NULL,
        TRUE,
        0,
        NULL,
        NULL,
        &stStartupInfo,             //设置窗口的一些基本信息
        &stProcessInformation);            //传出参数
    if (!bRet)
    {
        ReportError("CreateProcess");
    }

    system("pause");
	return 0;
}
code_greenhand
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE总结12---PE文件结构之资源 (IMAGE_RESOURCE_DIRECTORY)
oBuYiSeng的博客
12-11 7173
资源PE是以目录的形式存在的,一般有3层:资源类型,目标资源ID与资源代码页 都是以IMAGE_RESOURCE_DIRECTORY结构为头部的,并且后面跟着一个IMAGE_RESOURCE_DIRECTORY_ENTRY结构数组。 IMAGE_RESOURCE_DIRECTORY,负责指出后面数组的成员个数 IMAGE_RESOURCE_DIRECTORY_ENTRY,数组成员分
PE文件解析-资源的版本信息结构
zhyulo的博客
02-23 2419
一、概述     想要获取一个可执行文件(PE文件)里包含的资源文件,首先要解析可执行文件,得到资源存储的地址及大小,可参考 https://blog.csdn.net/zhyulo/article/details/85717711 。然后,根据资源存储方式,得到各资源数据内容及其大小,可参考 https://blog.csdn.net/zhyulo/article/details/85930...
PE 资源
不会写代码的丝丽
05-01 691
前言 我们在window开发需要很多资源比如ico和accelerator,dialog这些资源都被存放在PE文件的.rsrc节。 首先我们需要明白PE存储方式才好解析: 首先是三个三级目录最后才是真正的资源,其第三个目录使用LCID进行区分地区.具体参阅 谈谈Windows程序的字符编码 //winnt.h #define IMAGE_DIRECTORY_ENTRY_RESOURCE 2 // Resource Directory 我们举例某个工程 你可以看到这个工程有两个
读取PE文件的资源
weixin_33910460的博客
09-10 420
    在上一篇文章里,已经讲解了加载PE文件的导入。本篇简要介绍PE文件的资源的结构和定位方式。 所谓资源(resource table),就是通常在IDE的资源视图所看到的那个Tree视图,因此资源PE文件同样是这样的一种类似资源管理器一样的树状逻辑结构。     对树,我们不能想类似导入那样当作线性的数组去比较简单直观的加载,而是要用递归函数去重建,这是因为树的定义就...
PE文件分析-资源
m0_48995611的博客
07-05 330
时间:202106 资源 DESC: 记录PE文件资源信息。 RVA: IMAGE_DATA_DIRECTORY[2].VirtualAddress。 资源包括 Cursor, Bitmap, Icon, Menu, Dialog, String, Accelerator 等预定义的资源类型和自定义的资源类型, 不同资源类型用 ID 区分。 预定义资源类型ID 描述 1 Cursor 2 Bitmap Resource 3 Icon 4 Menu Resource
PE文件格式(数据目录部分未完成)
03-11
数据目录包含了一组固定大小的结构,即数据目录项(Data Directory Entry),每个项都有一个固定的偏移量和大小,指示了PE文件特定部分的位置。常见的数据目录项有: - **导出(Export Directory)**:列出PE...
易语言源码易语言PE文件资源查看源码.rar
02-17
PE文件是Windows操作系统常见的可执行文件格式,它包含了代码、数据资源等信息。 源码是程序的原始文本形式,通过阅读和理解源码,我们可以深入学习程序的工作原理。在这个项目,我们可以学习到如何解析PE...
易语言PE文件资源查看源码.zip易语言项目例子源码下载
03-23
在易语言,"PE文件资源查看源码"是指针对Windows操作系统的Portable Executable(PE文件格式进行资源解析的代码示例。PE文件是Windows系统下的可执行文件格式,包含了程序运行所需的所有信息,如代码、数据、...
JIURL PE 格式学习总结(四)-- PE文件资源.docx
12-07
总的来说,理解和处理PE文件资源涉及到对PE文件格式的深入理解,包括节的组织、目录结构和数据的布局。这对于开发、逆向工程和软件调试工作至关重要。通过掌握这些知识,我们可以有效地分析和修改PE文件资源...
PE文件资源修改(基于重构)
04-19
资源PE文件的位置通常位于PE头的IMAGE_RESOURCE_DIRECTORY结构,它包含一系列的目录项,指向具体的资源类型,如RT_ICON、RT_DIALOG等。每个目录项又包含子目录项,对应具体的资源ID或名称。资源数据实际存储在...
国家政务数据资源目录模板-20170724
03-05
在政务数据资源梳理工程,必须要参考的国家发布的政务数据资源目录
php pe文件版本号,小悠PE文件FileVersionInfo类,轻松获取PE文件版本信息
weixin_36352432的博客
03-18 377
本文出自悠然品鉴小悠,转载请注明出处:http://www.youranshare.com/codeorg/sid/138.html今天在整一个类似于windows任务管理器的东西,其一个功能就是需要获取到exe,dll这些PE文件的版本信息和描述信息,小悠整了老半天终于还是整出来了,为了以后使用放便,我就做成了一个类给封装了起来,这里给大家分享一下吧.我封装的这个类叫做CPEFileVersi...
PE文件资源
甜筒八部 的专栏
04-07 564
这里的RVA我们可以定位到资源的位置 资源定义 Windows 将程序的各种界面定义为资源,包括加速键(Accelerator)、位图(Bitmap)、光标(Cursor)、对话框(Dialog Box)、图标(Icon)、菜单(Menu)、串(String Table)、工具栏(Toolbar)和版本信息(Version Information)等。 资源有很多种类型,每种类型的资源可能存在多个资源项,这些资源项,用不同的ID 或名称来区分。但是,要将这么多种类型的不同ID ...
PE资源分析
03-21 1340
PE资源分析_备忘(假设文件以Image形式影射):1,得到IMAGE_NT_HEADERS2,得到第一个Section ==>pSection=IMAGE_FIRST_SECTION(pNtHeader);3,得到.rsrc ==> pResSection++; where pResSection->Name==".rsrc"4,得到PIMAGE_RESOURCE_DIRECTORY resDi
PE文件学习(三)数据目录资源
SanSiro1的博客
08-26 2504
资源PE文件最复杂的结构了,资源PE文件是以目录结构的形式存在的,一般情况下分为3层,从根目录开始分别是资源类型、目录资源ID与资源代码页。      3层目录结构都是由一个IMAGE_RESOURCE_DIRECTORY结构为头部,后面跟着一个IMAGE_RESOURCE_DIRECTORY_ENTRY结构数组。       结构体IMAGE_RESOURCE_DIRECTORY_E
PE文件结构-目录项结构
阿Q在行走
03-09 972
目录项结构 数据目录项位于可选PE头的最后一部分,向前四个字节说明了数据目录项的数量,而每个数据目录项的结构一致,分别包含RVA地址和数据项的大小。 IMAGE_DATA_DIRECTORY STRUCT { DWORD VirtualAddress ;数据的起始RVA DWORD isize ;数据块的长度 } 数据目录项通常共有16项,它们的详细说明如下: 英文描述 文描述 ...
【免杀前置课——PE文件结构】十八、数据目录及其内容详解——数据目录(导出、导入、IAT、TLS)详解;如何在程序在被调试之前反击?TLS反调试(附代码)
最新发布
m0_62783065的博客
12-12 1248
【免杀前置课——PE文件结构】十八、数据目录及其内容详解——数据目录(导出、导入、IAT、TLS)详解;如何在程序在被调试之前反击?TLS反调试(附代码)
PE文件解析--导出
qq_31125257的博客
12-22 1377
1、定位导出 可选pe的最后一个字段:数据目录项 typedef struct _IMAGE_DATA_DIRECTORY { DWORD VirtualAddress; DWORD Size; } IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY; 如何找到这个结构前面的文章已经说过。而且这个 Size 字段不一定是真实的。 上面 Vi
滴水逆向三期 PE解析 资源
四位的博客
06-16 1578
概要 资源采取目录的形式, 就和我们常用的访问文件夹性质是一样的, 每一级都是同一结构, 每一级之前又有一个结构来判断当前级是否为目录. 文章采用两种方式来理解 利用文件目录理解 根据结构解析 代码实现 分析 根据结构解析 文件结构: 注意事项: 结构涉及的偏移计算方式均为 第一个目录(DataDirectory[2]所指向的结构)的偏移加上其值 譬如本例所有偏移均已pResourceDirectory的地址作为基准. 故定义变量dwPRD指代其值 一 目录定位到资源位置 可以看到红色标红两项
Windows PE文件格式详解
PE(Portable Executable)文件格式是微软为Win32平台设计的一种标准,用于存放应用程序的机器代码和数据。本文将深入探讨PE文件的结构及其在DOS和Windows环境的演变。 在DOS时代,存在四种基本的可执行文件类型...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值