如何修改PE文件的资源

最新推荐文章于 2023-02-03 11:46:25 发布
最新推荐文章于 2023-02-03 11:46:25 发布
阅读量626 收藏 1
点赞数
原文链接:http://www.cnblogs.com/biyaxiong/archive/2013/03/28/2987063.html
版权

PE(Portable Executable)可移植的执行体,Win32平台下的可执行文件格式。常见的exe、dll、sys、scr都是PE文件。

  • 分析PE文件格式,直接修改

  此种方式需要对PE文件的格式比较了解,才能进行修改,否则很可能将文件损坏。

  本文主要描述第二种方式:

  • 通过Windows API进行修改
  1. BeginUpdateResource 
    1 HANDLE WINAPI BeginUpdateResource(
2   _In_  LPCTSTR pFileName,
3   _In_  BOOL bDeleteExistingResources
4 );

    参数pFileName为需要修改资源的文件名,bDeleteExistingResources是否删除pFileName参数指定的现有资源,成功则返回提供给UpdateResource和EndUpdateResource函数使用的句柄。

  2. UpdateResource 
    1 BOOL WINAPI UpdateResource(
2   _In_      HANDLE hUpdate,
3   _In_      LPCTSTR lpType,
4   _In_      LPCTSTR lpName,
5   _In_      WORD wLanguage,
6   _In_opt_  LPVOID lpData,
7   _In_      DWORD cbData
8 );

    hUpdate:指定更新文件句柄,此句柄由BeginUpdateResource函数返回。

    lpType:指向说明将被更新的资源类型的字符串,可以是以下预定义资源类型,也可以是自定义资源,如"png"。

            RT_ACCELERATOR  加速器表
            RT_ANICURSOR  动态光标
            RT_ANIICON  动态图标
            RT_BITMAP  位图资源
            RT_CURSOR  由硬件支持的光标资源
            RT_DIALOG  对话框
            RT_FONT  字体资源
            RT_FONTDIR  字体目录资源
            RT_GROUP_CURSOR  与硬件无关的光标资源
            RT_GROUP_ICON  与硬件无关的目标资源
            RT_HTML  HTML文档
            RT_ICON  由硬件支持的图标资源
            RT_MENU  菜单资源
            RT_MESSAGETABLE  消息表的入口
            RT_PLUGPLAY  即插即用资源
            RT_RCDATA  应用程序定义资源(原始数据或自定义资源)
            RT_STRING  字符表入口
            RT_VERSION  版本资源
            RT_VXD VXD

    lpName:指向说明待被更新的资源名称的字符串,可以通过宏MAKEINTRESOURCE(ID)获取,ID为资源ID。

    wLanguage:指定将被更新资源的语言标识,可参见宏MAKELANGID。

    lpData:指向被插入可支持文件的资源数据的指针,如果lpData为NULL,所指定的资源将从可执行文件中被删除。

    cbData:指定lpData中的资源数据数据大小,以字节计数。

  3. EndUpdateResource 
    1 BOOL WINAPI EndUpdateResource(
2   _In_  HANDLE hUpdate,
3   _In_  BOOL fDiscard
4 );
    hUpdate用于资源更新的句柄,此句柄通过BeginUpdateResource函数返回。fDiscard用来说明是否向可执行文件中写入资源更新内容。如果此参数为TRUE,则在可执行文件中无变化;如果此参数为FALSE,则在可执行文件中写入变化。
  4. EnumResourceTypes 
    1 BOOL WINAPI EnumResourceTypes(
2   _In_opt_  HMODULE hModule,
3   _In_      ENUMRESTYPEPROC lpEnumFunc,
4   _In_      LONG_PTR lParam
5 );

    为资源搜寻模块并且将它找到的每个资源类型传递给用户定义的回调函数。

  5. EnumResourceNames 
    1 BOOL WINAPI EnumResourceNames(
2   _In_opt_  HMODULE hModule,
3   _In_      LPCTSTR lpszType,
4   _In_      ENUMRESNAMEPROC lpEnumFunc,
5   _In_      LONG_PTR lParam
6 );

    为每个指定类型的资源搜寻模块,并将每个查找到的资源名称传递给回调函数。

     lpszType:被列举出的资源类型,可以通过IS_INTRESOURCE进行判断,如果为TRUE,表明是一个资源ID,则将指针强制转换为资源ID,并从资源中加载字符串;如果为FALSE,则认为是一个字符串指针。

     #define IS_INTRESOURCE(_r) ((((ULONG_PTR)(_r)) >> 16) == 0)

转载于:https://www.cnblogs.com/biyaxiong/archive/2013/03/28/2987063.html

weixin_30363509
关注
关于PE可执行文件修改
小发猫
05-23 1856
在windows 9x、NT、2000下,所有的可执行文件都是基于Microsoft设计的一种新的文件格式Portable Executable File Format(可移植的执行体),即PE格式。有一些时候,我们需要对这些可执行文件进行修改,下面文字试图详细的描述PE文件的格式及对PE格式文件修改。1、PE文件框架构成DOS MZ headerDOS stub PE header Secti
PE文件资源表更换
qq_38184895的博客
04-29 610
rescoure的更换 上次我们手工注入了dll,这次我们要更换的是calc.exe的 图标。我们的目的是替换这边的图标。桌面图标(32x32) 这是总的位置 现在我们开始分析 1. 资源表IMAGE_RESOURCE_DIRECTORY_ENTRY calc对应的位置 可见有8个IMAGE_RESOURCE_DIRECTORY_ENTRY 再根据第一个...
PE文件资源修改(基于重构)
04-19
这是本人做的一个探索。这个小程序可以 重新构造PE文件资源,然后写回到PE文件中;
PE文件资源修改工具包
09-03
PE文件资源修改工具,可修改PE文件的各种资源:字符串、图片等。含有使用Resource Hacker工具
ResScope-PE资源修改工具
07-15
ResScope, 一个比较简洁的PE资源修改工具
rs.rar_PE 资源_PE资源_pe文件_rs
09-23
标题"rs.rar_PE资源_PE资源_pe文件_rs"暗示我们关注的是与PE文件资源相关的操作,特别是涉及"rs"的某个过程或工具。"rs"可能是指资源脚本(Resource Script)或者某种特定的资源操作。在这个场景下,它可能是用于...
易语言PE文件资源查看
08-22
通过以上功能,易语言PE文件资源查看源码可以帮助开发者深入理解PE文件的内部结构,进行资源的查找、修改、提取等工作,对于软件开发和逆向工程具有重要意义。16120191218095053可能是该源码系统的版本号或时间戳,...
PE文件格式分析及修改.doc
02-21
PE 文件格式分析及修改 PE 文件格式是 Win32 环境自身所带的执行文件格式,它的特性继承自 Unix 的 Coff 文件格式。PE 文件文件系统中,与存贮在磁盘上的其它文件一样,都是二进制数据,对于操作系统来讲,可以...
关于PE可执行文件修改.rar_PE修改_pe_pe文件修改
09-23
3. **修改资源**:PE文件中包含各种资源,如图标、字符串、版本信息等。利用Resource Hacker等工具,可以修改或替换这些资源,改变程序的外观或行为。 4. **调整节区**:根据需求,可以增加、删除或合并节区,以...
PE文件修改器(EXE文件查看工具)v2.2单文件绿色版(x86/x64)
12-08
PE文件修改器(EXE文件查看工具)v2.2单文件绿色版 ============================================================ 发布时文件名:   PEshell-x86-v2.2[crc-F342E220].exe   PEshell-x64-v2.2[crc-A9F3EAEA].exe 软件介绍:   PE文件修改器(EXE文件查看工具)   WINXP,WIN7x86,WIN7x64系统下测试稳定,部分受保护文件修改失败。(仅用于学习交流)   此小工具,可修改EXE文件图标,导出EXE文件图标,EXE文件注入进程,EXE文件注入DLL,合并EXE文件。 注:   用于打造个性化EXE文件,但仅适用于修改普通32/64位可执行EXE文件。   绿色版无毒请放心使用!   这类软件杀软误报纯属正常! ============================================================
PeEdit PE文件修改工具
08-18
安全可以用已经验证。
PE文件格式分析及修改(续)
kendyhj9999的专栏
12-22 1082
2.3 IMAGE_SECTION_HEADER PE文件头后是节表,在winnt.h下如下定义 typedef struct _IMAGE_SECTION_HEADER { BYTE Name[IMAGE_SIZEOF_SHORT_NAME];//节表名称,如“.text” //IMAGE_SIZEOF_SHORT_NAME=8 union { DWORD Physica
手动修改PE文件:添加自定义代码
当我在写代码的时候我在写什么
11-06 4977
PE文件里有很多位置可以添加自己的代码(其实就是感染PE),凡是用不到的地方都能加。想到的位置有(在文件中不是在内存中):Dos头和Nt头之间、每个节末尾的Padding(间隙)、新增节分配在文件末尾的空间;其它覆盖数据的方法不安全容易引起错误还是算了。添加后还要在程序中设置跳转以执行自己的代码,有用跳转和改入口点的方法。总之方法很多,下面举个例子: 1. 准备 在这里我要加
修改PE文件版本信息(简单演示)
无常之语,无心之果(by 僵哥)
10-14 5152
struct VS_VERSIONINFO {  WORD  wLength;  WORD  wValueLength;  WORD  wType;  WCHAR szKey[];  WORD  Padding1[];  VS_FIXEDFILEINFO Value;   WORD  Padding2[];   WORD  Children[]; };
PE文件修改----增加节区
weixin_51738129的博客
02-01 1056
PE文件修改
PE文件修改---减少节区
最新发布
weixin_51738129的博客
02-03 386
打开标准头,找到size of image地址为000000D0,大小为00008000,减去映像大小最小单位00000000。删除节区头(用0填充),用PEview打开文件Tut.ReverseMe1,找到节区reloc地址范围:0218到0240。,找到这个节的起始位置,section.reloc起始位置是00003600,之后全部删除。保存为Tut.ReverseMe3.exe。,5个节修改位4个节。
逆向工程之作业:手工修改PE文件
weixin_47356546的博客
12-09 1094
文字描述思路,关键步骤截图,形成打印版文档,提交。 1.对齐粒度 将helloworld.EXE的文件对齐和内存对齐粒度设置为相同,都为1000H,查看节表,得到以下效果。 步骤: Peditor打开helloworld.exe文件 打开节表, 右键点击一个节,选择编辑节,修改原始大小和原始偏移 点击应用更改。 例:选择.text节 修改了以后保存,文件就不能运行了,因为文件实际的内容大小对应不上。 打开Winhex,在几个部分进行填充,使文件实际大小和PEditor内容对应 (1). text部分由
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值