2021-06-07解析资源表

最新推荐文章于 2021-10-24 16:33:55 发布
最新推荐文章于 2021-10-24 16:33:55 发布
阅读量631 收藏
点赞数
分类专栏: 逆向基础 C++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42408832/article/details/117640517
版权 
// Location_Res.cpp : 定义控制台应用程序的入口点。
//

#include "stdafx.h"
#define FilePath "D:\\NOTEPAD.EXE"



//功能:Rva转Foa

//参数1:FileBuffer

//参数2:dwRva,需要转换的Rva地址

DWORD RvaToFileOffset(IN LPVOID pFileBuffer, IN DWORD dwRva)

{

	//定义文件头

	PIMAGE_DOS_HEADER dosHeader = NULL;        //dos头指针

	PIMAGE_NT_HEADERS ntHeader = NULL;        //nt头指针

	PIMAGE_FILE_HEADER peHeader = NULL;        //pe头指针

	PIMAGE_OPTIONAL_HEADER32 opHeader = NULL;    //可选pe头指针

	PIMAGE_SECTION_HEADER sectionHeader = NULL;    //节表指针

												   //找到文件头

	dosHeader = (PIMAGE_DOS_HEADER)pFileBuffer;

	ntHeader = (PIMAGE_NT_HEADERS)((DWORD)pFileBuffer + dosHeader->e_lfanew);

	peHeader = (PIMAGE_FILE_HEADER)((DWORD)ntHeader + 4);

	opHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)peHeader + IMAGE_SIZEOF_FILE_HEADER);

	sectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)opHeader + peHeader->SizeOfOptionalHeader);

	//1.判断是哪个节

	int sec = -1;

	for (int i = 0; i<peHeader->NumberOfSections; i++) {

		DWORD va = (sectionHeader + i)->VirtualAddress;

		DWORD size = (sectionHeader + i)->Misc.VirtualSize;

		if (dwRva >= va && dwRva <= (va + size)) {

			sec = i;

			//printf("在第%d个节\n", sec);

			break;

		}

	}

	if (sec<0) {

		printf("内存偏移不在任何一个节\n");

		return 0;

	}

	//2.转换

	DWORD secOffset = dwRva - (sectionHeader + sec)->VirtualAddress;

	DWORD foa = (sectionHeader + sec)->PointerToRawData + secOffset;

	return foa;

}



DWORD FoaToImageOffset(PVOID pBuffer, DWORD dwFoa)
{
	PIMAGE_DOS_HEADER pDosHeader = NULL;
	PIMAGE_NT_HEADERS pNTHeader = NULL;
	PIMAGE_FILE_HEADER pPEHeader = NULL;
	PIMAGE_OPTIONAL_HEADER32 pOptionHeader = NULL;
	PIMAGE_SECTION_HEADER pSectionHeader = NULL;

	if (!pBuffer)
	{
		printf("(FoaToImageOffset)Can't open file!\n");
		return 0;
	}

	if (*((PWORD)pBuffer) != IMAGE_DOS_SIGNATURE)
	{
		printf("(FoaToImageOffset)No MZ flag, not exe file!\n");
		return 0;
	}

	pDosHeader = (PIMAGE_DOS_HEADER)pBuffer;
	if (*((PDWORD)((DWORD)pBuffer + pDosHeader->e_lfanew)) != IMAGE_NT_SIGNATURE)
	{
		printf("(FoaToImageOffset)Not a valid PE flag!\n");
		return 0;
	}
	printf("FileOffset: %#x\n", dwFoa);

	pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)pBuffer + pDosHeader->e_lfanew);
	pPEHeader = (PIMAGE_FILE_HEADER)((DWORD)pNTHeader + 4); // 这里必须强制类型转换
	pOptionHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pPEHeader + IMAGE_SIZEOF_FILE_HEADER);
	pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionHeader + pPEHeader->SizeOfOptionalHeader);

	PIMAGE_SECTION_HEADER pSectionTemp = pSectionHeader;

	if (dwFoa <= pOptionHeader->SizeOfHeaders)
		return (DWORD)dwFoa;
	else
	{
		for (int n = 0; n < pPEHeader->NumberOfSections; n++, pSectionTemp++)
		{	//判断 :   文件对齐+文件偏移>file_panyi>文件偏移  (即是在文件的哪个节中)
			if ((dwFoa >= pSectionTemp->PointerToRawData) && (dwFoa < pSectionTemp->PointerToRawData + pSectionTemp->SizeOfRawData))
			{
				return dwFoa - pSectionTemp->PointerToRawData + pSectionTemp->VirtualAddress;
			}
		}
	}
	printf("FoaToRva failed!\n");
	return 0;
}





//读到文件中
FILE* ReadFile_own(LPSTR Path) {
	FILE* FileAddress = NULL;
	if (!(FileAddress=fopen(Path, "rb"))) {//如果FileAdd为空
		printf("读取文件失败");
		fclose(FileAddress);
		return 0;
	}
	return FileAddress;//返回文件流指针
}

//获取文件大小
int File_Size(FILE* File) {
	int len = 0;
	fseek(File, 0, SEEK_END);
	len = ftell(File);
	fseek(File, 0, SEEK_SET);
	return len;
}

//把文件读到FileBuffer
LPVOID FileToFilebuffer(FILE* FileAddress, int len) {
	if (!len) {
		printf("读取的长度为空");
		fclose(FileAddress);
		return 0;
	}

	LPVOID FileMem = (char*)malloc(len);
	memset(FileMem, 0, len);
	fread(FileMem, 1, len, FileAddress);
	
	//memcpy(FileMem, FileAddress, len);
	return FileMem;
}


//读取资源表
void Location_Res(LPVOID FileMem){

	//资源的类型
	PCHAR lpszResType[17] = { "未定义", "光标", "位图", "图标", "菜单",
		"对话框", "字符串","字体目录", "字体",
		"加速键", "非格式化资源", "消息列表", "光标组",
		"未定义", "图标组","未定义", "版本信息" };

	PIMAGE_DOS_HEADER pDos = NULL;
	PIMAGE_NT_HEADERS pNt = NULL;
	PIMAGE_FILE_HEADER pFile = NULL;
	PIMAGE_OPTIONAL_HEADER pOpt = NULL;
	PIMAGE_DATA_DIRECTORY pDataDir = NULL;
	PIMAGE_RESOURCE_DIRECTORY pRes = NULL;
	PIMAGE_RESOURCE_DIRECTORY_ENTRY pRes_Entry = NULL;
	if (!FileMem) {

		printf("读取dll文件失败\n");

		return;

	}

	pDos = (PIMAGE_DOS_HEADER)FileMem;
	pNt = (PIMAGE_NT_HEADERS)((DWORD)pDos+pDos->e_lfanew);
	pFile = (PIMAGE_FILE_HEADER)((DWORD)pNt + 4);
	pOpt = (PIMAGE_OPTIONAL_HEADER)((DWORD)pFile + IMAGE_SIZEOF_FILE_HEADER);

	pDataDir = (PIMAGE_DATA_DIRECTORY)(pOpt->DataDirectory);
	//pDataDir = (PIMAGE_DATA_DIRECTORY)(&(pOpt->NumberOfRvaAndSizes)+1);
	//pDataDir = (PIMAGE_DATA_DIRECTORY)pOpt->DataDirectory;



	pRes = PIMAGE_RESOURCE_DIRECTORY(pDataDir[2].VirtualAddress);  //资源目录Rva
	PIMAGE_RESOURCE_DIRECTORY  pResource = NULL;
	//转FOA
	pResource = (PIMAGE_RESOURCE_DIRECTORY)((DWORD)FileMem+RvaToFileOffset(FileMem, (DWORD)pRes));//资源目录Foa

	//找到资源数量
	int Res_count = 0;
	Res_count = (int)(pResource->NumberOfIdEntries + pResource->NumberOfNamedEntries);
	pRes_Entry = (PIMAGE_RESOURCE_DIRECTORY_ENTRY)((DWORD)pResource + sizeof(IMAGE_RESOURCE_DIRECTORY));
	for (int i = 0; i < Res_count; i++) {
		//第一层
		if ((pRes_Entry + i)->NameIsString == 1) {//=1,低31位是一个指向UNICODE的指针
			PIMAGE_RESOURCE_DIR_STRING_U Unicd = (PIMAGE_RESOURCE_DIR_STRING_U)((DWORD)pResource + (pRes_Entry + i)->NameOffset);
			WCHAR szStr[MAX_PATH] = { 0 };
			memcpy(szStr, Unicd->NameString, Unicd->Length*sizeof(WCHAR));
			printf("图标类型:%ls \n", szStr);
		}
		else {
			if ((pRes_Entry + i)->NameOffset < 17) {
				printf("\n\n=====图标类型:%s=====\n\n", lpszResType[((pRes_Entry + i)->NameOffset)]);//系统预定义类型
			}

			else {
				printf("\n\n=====图标类型(ID)=====\n\n图标自定义类型:%d \n", (pRes_Entry + i)->NameOffset);
			}
			
		}
		//第二层//地址

		PIMAGE_RESOURCE_DIRECTORY pNext = (PIMAGE_RESOURCE_DIRECTORY)((DWORD)pResource + (pRes_Entry + i)->OffsetToDirectory);//低31位 + 资源地址(foa) == 下一层目录节点的起始位置
		PIMAGE_RESOURCE_DIRECTORY_ENTRY pNext_Entry = (PIMAGE_RESOURCE_DIRECTORY_ENTRY)((DWORD)pNext + sizeof(IMAGE_RESOURCE_DIRECTORY));
		int pNext_count = pNext->NumberOfIdEntries + pNext->NumberOfNamedEntries;
		if ((pRes_Entry + i)->DataIsDirectory == 1) //DataIsDirectory是OffsetToData的最高位,低31位 + 资源地址 == 下一层目录节点的起始位置
		{
			
			for (int i = 0; i < pNext_count; i++) 
			
			
			{
				if ((pNext_Entry + i)->NameIsString == 1) 
				{//第二层编号,如果NameIsString=1,低31位是一个指向UNICODE的指针
					PIMAGE_RESOURCE_DIR_STRING_U Unicd_2 = (PIMAGE_RESOURCE_DIR_STRING_U)((DWORD)pResource + (pNext_Entry + i)->NameOffset);//& 0x7FFFFFFF
					WCHAR szStr[MAX_PATH] = { 0 };
					memcpy(szStr, Unicd_2->NameString, Unicd_2->Length*sizeof(WCHAR));
					printf("\n图标资源编号字符串:%ls \t", szStr);
					//
				}
				else {

						printf("\n图标资源编号:");
						printf("%d\t", (pNext_Entry + i)->NameOffset);
						//

					}

				//第三层
				PIMAGE_RESOURCE_DIRECTORY p3 = (PIMAGE_RESOURCE_DIRECTORY)(((DWORD)pResource) + (pNext_Entry+i)->OffsetToDirectory);
				PIMAGE_RESOURCE_DIRECTORY_ENTRY p3_entry = (PIMAGE_RESOURCE_DIRECTORY_ENTRY)((DWORD)p3 + sizeof(IMAGE_RESOURCE_DIRECTORY));
				int p3C = p3->NumberOfIdEntries + p3->NumberOfNamedEntries;

				for (int n = 0; n < p3C; n++)

				{

					if ((p3_entry + n)->NameIsString == 1) {
						PIMAGE_RESOURCE_DIR_STRING_U Unicd_3 = PIMAGE_RESOURCE_DIR_STRING_U((p3_entry + n)->NameOffset);
						WCHAR szStr[MAX_PATH] = { 0 };
						memcpy(szStr, Unicd_3->NameString, Unicd_3->Length);
						printf("代码页编号字符串:%ls ", szStr);
						if ((p3_entry + n)->DataIsDirectory == 0) {
							PIMAGE_RESOURCE_DATA_ENTRY DataEntry = (PIMAGE_RESOURCE_DATA_ENTRY)((DWORD)pResource + (p3_entry + n)->OffsetToDirectory);
							printf("代码页Rva:%x ", DataEntry->OffsetToData);
							printf("代码页大小:%x \n", DataEntry->Size);
						}
					}
					else {
						printf("代码页编号ID:%d ", (p3_entry + n)->NameOffset);
						if ((p3_entry + n)->DataIsDirectory == 0) {
							PIMAGE_RESOURCE_DATA_ENTRY DataEntry = (PIMAGE_RESOURCE_DATA_ENTRY)((DWORD)pResource + (p3_entry + n)->OffsetToDirectory);
							printf("代码页Rva:%x ", DataEntry->OffsetToData);
							printf("代码页大小:%x \n", DataEntry->Size);
						}
					}
				}
			}
		}
	}
}
	
	
int main()
{
	LPVOID P = NULL;
	FILE* file = NULL;
	file = ReadFile_own(FilePath);
	int len = File_Size(file);
	P = FileToFilebuffer(file, len);

	Location_Res(P);
	getchar();
    return 0;
}

在这里插入图片描述

wow.
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
解析资源
hambaga的博客
05-28 1043
一、资源简介 资源是PE所有里边最复杂的,造成资源复杂是有历史原因的,简单说就是微软设计PE的时候错误的以为只要定义16中资源类型就够了,后来发现远远不够,但是PE结构已经定下来了,只能在原有基础上修改,因此就造成了资源这块比较不好理解。 所谓的不好理解,就是它里边用到的结构,其中的属性会出现位段/位域的用法,同一个4字节,要根据高位判断它到底是一个整数还是一个偏移;然后偏移并不是RVA,而是相对于资源的偏移。 但是这些并不能难倒我,我花了一天,把解析程序写出来了。 推荐一本书叫《WINDOW
PE总结13 --PE文件结构之 解析资源
oBuYiSeng的博客
12-11 2687
// 资源2.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include #include #include DWORD RVA2Offset(DWORD dwRva, PIMAGE_NT_HEADERS32 pNt) { DWORD dwOffset = 0; PIMAGE_SECTION_HEADER pSection = I
资源解析
qq_41490873的博客
01-28 510
通过数据目录的第三个结构可以得到资源的RVA typedef struct _IMAGE_DATA_DIRECTORY { DWORD VirtualAddress; DWORD Size; } IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY; typedef struct _IMAGE_RESOURCE_DIRECTORY ...
解析PE资源与重定位
weixin_34122548的博客
04-18 203
这里三层结构一定要注意 nameOffset OffsetToDirctory 与 OffsetToData 联合体中的这三个偏移是相对资源最开始的位置的偏移但在第三层中的 offsetToData是相对虚拟地址(RVA)要先转换成 FOA再加上文件起始地址就是在文件中的地址 #include<Windows.h> #include<iostream> #includ...
PE文件资源加速键的解析
m0_46581153的博客
08-09 213
最近在做PE工具,在解析资源中的加速资源时遇到点困难,由于网上没有PE资源里加速的结构而无从下手解析加速,不过经过一番研究后也是解决了,特地写这篇文章记录。 一、关于加速、加速键 加速键是windows预定义的一类资源,在PE资源中的标号是9,作用是当用户在键盘上按下某些组合键时触发WM_COMMAND消息,前提是在消息循环里使用了TranslateAccelerator()转换WM_KEYDOWN消息。具体使用方法不是本文讨论的重点,详细的可以参考msdn。 至于加速,这是一张用来存放加速
2021-SQL开发及优化.ppt
09-01
通过软解析(使用绑定变量)和优化执行计划,可以降低解析成本,确保索引被合理使用。此外,保持统计信息的准确性,使用分区技术,以及将常用数据缓存到内存中,都是提升性能的有效手段。 Oracle提供了多种类型的...
Java版DLT645-2007电能协议解析源码(串口协议解析)
最新发布
02-16
Java版的DLT645-2007电能协议解析源码是用于处理电能通信的一种软件开发资源,尤其适用于那些需要通过串行接口与电能进行数据交互的应用。这个协议是中国电力行业的一个标准,规定了电能与数据采集系统之间...
DL/T645-2007通讯协议解析工具-其它工具类资源
10-04
总结,DL/T645-2007协议作为电能通信的重要标准,其解析工具在电力行业的日常运营和维护中扮演着不可或缺的角色。通过深入理解和应用这个工具,我们可以更有效地管理电能,确保电力数据的准确传输,进一步优化...
1专题资料(2021-2022年). 2企业网站商业计划书.doc
11-29
以下是对这份计划书涉及的关键点的详细解析: 1. **背景分析**:互联网的发展经历了起伏,但其作为服务行业的本质逐渐被认识。互联网并非神话,而是实用的媒体、工具和途径。企业应当理解并充分利用互联网,将其...
精品专题(2021-2022年收藏)2010年度人力资源部经营计划.docx
10-02
以下是计划的详细解析: 一、工作指导思想 2010年的人力资源工作将以公司战略目标为导向,强调“立足”与“发展”,旨在通过规范化管理和激发员工潜能,形成自我驱动、自我优化的管理体系,实现无为而治的高效运作...
1.PE文件之DOS头(IMAGE_DOS_HEADER)
kernelhack
10-24 8727
IMAGE_DOS_HEADER结构是面对于16位程序的.现在大部分程序都是32或者64位的. 32或者64位的程序已经不使用IMAGE_DOS_HEADER结构里面的成员了,但是有两个成员还需使用. IMAGE_DOS_HEADER 结构及成员含义如下: //大小为: 0x40(64)字节 #define IMAGE_DOS_SIGNATURE 0x5A4D // MZ typedef struct _IMAGE_DOS_HEADER { ..
PE结构-节
小喇叭儿滴滴的吹
02-12 458
首先,节的话有两部分,一部分是节,另外一部分就是节区了,节是用于描述节区信息的,而节区呢,简单点说就是数据块。 在上一篇博客中有提及过如何定位节,重点就是需要根据选项头的大小来定位,这里的话就直接上一点代码吧,前两篇概念较多 PIMAGE_DOS_HEADER pDosHeader = GetDosHeader(); //获取dos头 if (pDosHeader ==...
[Rootkit] 进程隐藏 - 内存加载(寄生&僵尸进程)
CSDN
07-16 7432
这就导致了另一个问题:同样一个段,在磁盘中相对文件起始的距离,和内存中相对imageBase的距离是不一样的(因为地址对齐,拉伸了)!所以只能把需要用到的这些系统函数统一放在一张叫做导入格,explorer加载的时候还要挨个遍历导入,一旦发现该PE文件用到了某些系统API,需要用这些API在内存的真实地址替换PE文件中call的地址(这也是用OD、x96dbg这些常见的调试器能找到这些系统函数的根本原因:都是系统提供的嘛,函数名必须保存起来,否则加载的时候没法替换成内存中真正的地址)!
导入注入
qq_41232519的博客
10-14 548
文章目录一 、流程二、演示三、完整代码 一 、流程 1、File-> FileBuffer 2、添加节 3、定位导入 4、将导入移动到新增的节里面 5、新增一个导入 6、在导入后面添加INT和IAT 7、INT和IAT指向函数名 8、修正导入 9、存盘 二、演示 1、File-> FileBuffer DWORD Size = 0; //用来接收数据大小 BOOL isok = FALSE; //用来接收写入磁盘是否成功 LPVOID pFileBuffer
滴水三期逆向基础系列(二)-加壳初识-文件开头弹出对话框
henuyl的博客
04-23 641
VOID AddCodeToCodeSec( VOID ){ LPVOID pFileBuffer = NULL; LPVOID pImageBuffer = NULL; LPVOID pNewFileBuffer = NULL; PIMAGE_DOS_HEADER pDosHeader = NULL; PIMAGE_NT_HEADERS pNTHeader = NULL; PIM...
隐藏模块(无模块注入)
weixin_41875267的博客
09-09 1097
模块隐藏那节课要求完成两个作业,都是隐藏模块,本文介绍两种方法分别如何实现。 方法一:往自己的进程注入游戏主模块 这个题目的意思是将程序的基址设置成高地址,将0x400000空出来,然后将游戏主模块拉伸,修复IAT之后,注入进去。这样做的好处主要是简单,因为不需要修复重定位了。缺点也很明显,很多时候根本没办法在0x400000处申请足够大的内存容纳游戏程序。,还有就是有些程序跳转到OEP之后会卡住,具体原因我也不知道。我这里用dbgview.exe测试,能够正常启动,这足够说明我的代码没有大...
fread读取同一个文件得到缓冲区大小不同_PE文件基础
weixin_39816141的博客
11-28 291
前言学一学PE小基础,从文件PE到内存中的PE,然后再保存到内存中这边我们是从文件中的pe转到运行中的pe,然后再缩小存储到文件的pe这边我们需要知道内存中对齐是0x1000,文件对齐是0x200(这边是16进制的,误踩坑)我们第一步是先要把pe文件读出来,存储起来1、根据SizeOfImage的大小,开辟一块缓冲区(ImageBuffer).2、根据SizeOfHeader的大小,将...
PE文件解析资源解析
zhang14916的博客
12-19 1164
根据PE文件格式我们可以快速找到目录数组位置,在目录数组中我们可以找到资源在哪里 我们看出资源位置为0x4000,大小为0xb20。 资源所对应数据结构为IMAGE_RESOURCE_DIRECTORY typedef struct _IMAGE_RESOURCE_DIRECTORY {           DWORD   Characteristics;         ...
PE结构-合并节(附实例代码)
Alone的博客
10-24 444
合并节: 1、拉伸到内存 2、将第一个节的内存大小、文件大小改成一样 Max = SizeOfRawData>VirtualSize?SizeOfRawData:VirtualSize SizeOfRawData = VirtualSize = 最后一个节的VirtualAddress + Max - SizeOfHeaders内存对齐后的大小 3、将第一个节的属性改为包含所有节的属性 (重点) 4、修改节的数量为1 ...
单片机学教程第2章-内部硬件架构及资源ppt课件.ppt
10-27
单片机学教程第2章-内部硬件架构及资源ppt课件.ppt

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值