如何将.spl剥离成.emf文件格式

关键字: 打印 SPL EMF 文件格式   

             问题：

             Windows的假脱机打印会在Windows/System32/spool/PRINERS目录下生成.spl和.shd文件，其中的打印内

容存贮在.spl文件中，但是.spl文件格式似乎未公开，那么如何才能将未知的.spl文件剥离成.emf文件呢？

              首先，让我们了解一下Windows打印机制:

              这是微软的官网的一副打印流程图片:

              

              其中ISV是应用软件接口，IHV是硬件接口，左边是XP的打印模型，右边是Vista最新的XPS打印模

型，但两者可以互相转换，具有良好的兼容性。不过，这里暂时只关心XP系统的打印过程。

             网络打印过程图:
              
             
            

             但是这些图似乎还不够详细，那么请看下面一副：（摘录于论文:《基于关键字匹配的打印数据截获

系统》）:

             

                基本的思路是: 打印过程发生时,GDI模块和打印驱动(由打印机厂商提供)进行基本的数据交换，在假

脱机设置环境下，生成打印机命令文件：.spl或.emf文件，作为一个打印池的作业，然后Windows后台打印线

程处理打印作业，将数据文件送至打印机打印，打印完删除该打印文件。


                好，现在回到正题：.spl文件该如何剥离成.emf呢？看一个例子：

                在WinHex中打开一个.spl文件:

               
               参考:  http://www.undocprint.org/formats/winspool/spl 中一些打印结构的定义。

              首先，.spl文件都是以0x00010000签名开头，然后一个DWORD 是emf相关区的文件偏移，第3个

DWORD是文档描述字符串(UNICODE)的文件偏移,第4个DWORD 描述的是端口说明字符串(UNICODE)。大

致结构如下:

              

            文件尾就是这个样子:
    
           

           当定位到0x50的文件位置，读取2个DWORD数据之后,就是.emf文件开始了。.emf文件格式是公开的，而

且非常简单，是一系列EMR_XXX开口结构的紧密排列，通常以EMR_HEADER(0x01)开头，以EMR_EOF

(0x0E)结尾。其实我们根本没有必要去解析.emf文件格式，Windows  SDK有专门显示.emf文件的API,3个函数就

搞定:

                      HENHMETAFILE hEMF = GetEnhMetaFile("EMF_DumpOK.emf");
                      PlayEnhMetaFile (dc.m_hDC, hEMF, &rc) ;  
                      DeleteEnhMetaFile (hEMF) ;


然后.spl文件还有一些东西，我现在还没有解析出来，但是.emf文件已经剥离出来了，后面的可以先不理它。

                  然后，开始写程序喽，因为比较简单，所以代码有点随便哦~~:)
                
                  程序截图如下: