PE文件解析-资源中的位图、图标与光标结构

最新推荐文章于 2024-08-22 17:09:17 发布
最新推荐文章于 2024-08-22 17:09:17 发布
阅读量2k 收藏 9
点赞数
分类专栏: 文件解析 文章标签: PE文件解析 资源 位图 图标 光标
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhyulo/article/details/86476308
版权
本文详细介绍了PE文件中位图、图标和光标资源与对应独立文件(bmp、ico、cur)在数据结构上的差异。在位图资源中,BITMAPFILEHEADER文件头被省略,可通过补加该头信息提取位图。图标资源的文件头与图片数据分开存储,光标资源类似但包含热点数据。提供了提取这些资源的步骤和代码示例。
摘要由CSDN通过智能技术生成

一、概述

    想要获取一个可执行文件(PE文件)里包含的资源文件,首先要解析可执行文件,得到资源存储的地址及大小,可参考 https://blog.csdn.net/zhyulo/article/details/85717711 。然后,根据资源存储方式,得到各资源的数据内容及其大小,可参考 https://blog.csdn.net/zhyulo/article/details/85930045

    PE文件的资源中,位图、图标与光标的存储格式与bmp位图、ico图标与cur光标的文件的存储格式不太一样。具体表现在文件头PE资源中的缺失、·分离。但是具体的图片颜色数据,则没有变化。bmp位图、ico图标与cur光标文件格式,可参考 https://blog.csdn.net/zhyulo/article/details/85934728 。PE资源与独立文件的差别,具体见下面内容:

二、位图资源与bmp文件在数据结构上的差别

    位图资源类型ID=2。位图资源与bmp文件在数据结构上的唯一差别,表现在bmp文件的BITMAPFILEHEADER文件头结构,在位图资源中的缺失。而信息头、调色板、位图点阵数据,则没有差别。所以,在位图资源的数据前,补加BITMAPFILEHEADER文件头,另存为bmp文件,就可以做到PE文件位图资源的文件提取了。

    首先回顾一下BITMAPFILEHEADER文件头的定义:

typedef struct tagBITMAPFILEHEADER {
        WORD    bfType;      //文件标识,规定为0x4D42,字符显示就是'BM'
        DWORD   bfSize;      //文件大小
        WORD    bfReserved1; //保留,必须设置为0
        WORD    bfReserved2; //保留,必须设置为0
        DWORD   bfOffBits;   //从头到点阵数据的偏移
} BITMAPFILEHEADER, FAR *LPBITMAPFILEHEADER, *PBITMAPFILEHEADER;

    可以看到,BITMAPFILEHEADER文件头并没有什么重要的信

最低0.47元/天 解锁文章
c++实现PE文件图标提取
HeroNeverDie的博客
01-06 2593
PE文件图标资源是储存在资源表中的,其图标ID为3 图标组ID为14 只要遍历图标组得到图标头数据和对应图标ID 再根据图标ID遍历资源表得到图标数据 然后合成完整图标数据就可以了,以下为具体实现代码… #include "stdafx.h" #include #include #include using namespace std; //根据内存偏移地址RVA得到文件偏移地址
PE文件解析-资源(Resource)
zhyulo的博客
01-06 5090
一、位置     PE文件头可选映像头数据目录表的第3成员IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_DIRECTORY_ENTRY_RESOURCE]指向映像调试信息,它保存在PE文件,通常在".rsrc"区段。 二、资源简介     程序内部和外部的界面等元素的二进制数据统称为资源,程序把它们放在一个特定的表中,符合数据和程序分离的设计原则。资源...
PE文件结构详解
leolewin的博客
08-23 2918
1.M_DOS头部结构体: IMAGE_DOS_HEADER STRUCT { +00h WORD e_magic // Magic DOS signature MZ(4Dh 5Ah) DOS可执行文件标记 +02h WORD e_cblp // Bytes on last page of file +04h WORD e_cp // Pages in file +0
icon文件解析和生成
最新发布
CAir2的专栏
08-22 747
文件头 | DIRENTRY | DIRENTRY|DIRENTRY|…Imgdata|ImgdataImgdataImgdata|…如果图片尺寸 <= 128.则保存的BMP数据,否则保存的是png格式的数据。
PE文件资源解析(十二)自定义图像资源解析
老狼的专栏
04-22 470
图像资源解析,跟之前篇章介绍,从内存加载图像资源方法一样,具体代码实现方法如下: HRSRC hResrc = ::FindResourceEx((HMODULE)hModule, lpType, lpName, wLanguage); DWORD dwSize = ::SizeofResource((HMODULE)hModule, hResrc); HGLOBAL hGlobal = ...
PE文件资源解析(二)图标资源解析
老狼的专栏
04-21 696
EnumResourceLanguages回调函数里面涵盖了我们所需要的几个参数信息,定义如下: BOOL CALLBACK EnumResourceLanguagesProc( HMODULE hModule,//PE文件实例句柄 LPCSTR lpType, //资源类型 LPCSTR lpName, //资源名称 WORD wLa...
PE文件资源解析(三)图标资源解析
老狼的专栏
04-21 1333
图标文件,在这里指的是资源类型为RT_GROUP_ICON的资源信息。通过ResHacker看到的效果图如下: 既然是图标组,里面肯定包含很多组图标解析代码如下: HRSRC hResrc = ::FindResource(hModule, lpName, RT_GROUP_ICON); HGLOBAL hGlobal = ::LoadResource(hModule, hResrc...
PE文件结构解析
eli的博客
12-01 6573
说明:本文件各种文件头格式截图基本都来自看雪的《加密与解密》;本文相当《加密与解密》的阅读笔记。 1.PE文件总体结构 PE文件框架结构,就是exe文件的排版结构。也就是说我们以十六进制打开一个.exe文件,开头的那些内容就是DOS头内容,下来是PE头内容,依次类推。 如果能认识到这样的内含,那么“exe开头的内容是不是就直接是我们编写的代码”(不是,开头是DOS头内容)以及“我们编写的代码被编排到了exe文件的哪里”(在.text段,.text具体地址由其相应的IMAGE_SECTION_HR
Windows PE资源分析:光标图标结构详解
PE(Portable Executable)是Windows操作系统的可执行文件格式,它包含了许多资源,如光标位图图标等。本文重点讲解了光标资源结构和组成。" 在PE资源分析光标资源是一种常见的元素,主要用于定义应用...
JIURL PE 格式学习总结(四)-- PE文件资源.docx
12-07
本文主要探讨PE文件资源部分,如位图(BMP)、光标、菜单和对话框等,以及如何在PE文件定位和遍历这些资源资源PE文件的位置通常是存储在名为".rsrc"的特定节(section)。要找到资源文件的位置...
PE结构->【资源表】Resources Table
u011513939的博客
06-21 1511
很多朋友都想通过自己动手修改一些游戏的资源、工具的界面、或者一些软件的图标等,都知道要改资源部分。但纯粹一进去就像走进了迷宫……出不来…… 虽然说是迷雾重重,但是本节的学习确意义非凡,例如我们可以对游戏进行汉化!怎么样?刺激吧?给力吧?我们可以自己汉化我们喜欢的**游戏哦! 资源结构 资源PE文件非常重要的部分,几乎所有的PE文件都包含着资源,与导入表和导出表相比,资源的组织方式
修改PE文件位图图标 C语言源代码 适合想了解PE文件资源组织方式的读者
11-22
修改或导出PE文件位图图标,源程序是用C语言+Windows API编写的,适合想要了解PE文件结构PE文件资源组织方式、以及位图图标组织方式的读者。
PE文件解析(C#)
06-28
PE文件解析的c#实现 PE文件解析的c#实现
PE文件资源解析(四)光标资源解析
老狼的专栏
04-21 373
图标文件,在这里指的是资源类型为RT_CURSOR的资源信息。通过ResHacker看到的效果图如下: 解析代码如下: HRSRC hResrc = ::FindResourceEx((HMODULE)hModule, lpType, lpName, wLanguage); DWORD dwSize = ::SizeofResource((HMODULE)hModule, hResr...
分析PE格式文件图标信息
lbird
02-09 2944
 PE格式的资源段是比较复杂的,目前几种介绍PE格式的书籍在介绍到这部分时都是不够深入(本人认为写得比较好的有《Windows95系统程式设计奥秘》候捷译本),因此不得不拿起工具自已研究,分析PE格式比较好的工具有:stud_PE,UltraEdit等。以下记录我在研究图标资源时的过程,请结合PE格式分析教材阅读 步骤:1、得到资源段的偏移地址;用Stud_PE打开PE格式
PE文件资源解析(六)位图资源解析
老狼的专栏
04-21 472
位图资源,在这里指的是资源类型为RT_BITMAP的资源信息。解析相对来说比较简单,代码如下: HBITMAP hBitmap = LoadBitmap(hModule, lpName); if (hBitmap) { Gdiplus::Bitmap* pBitmap = (Gdiplus::Bitmap*)Gdiplus::Bitmap::FromHBITMAP(hBitmap, NULL...
win32 5.2 图标光标
OneTrianee的博客
05-20 413
图标光标都是图形资源,其在程序显示分两步: 首先先将找到该图片路径,并且加载到内存,返回一个对应的资源句柄,表示其该资源在内存的位置。 然后在程序使用该句柄,调用有关资源。 注意:基本所有资源都要这两步,先加载到内存返回句柄,然后程序调用句柄来使用其资源,而不是程序直接从磁盘读取显示文件,这个逻辑一定要理清。 图标光标资源定义: 图标ID ICON [DISCARD...
Windows编程资源,菜单资源图标资源光标资源,上下文菜单,字符串资源,加速键资源
WdIg-2023的博客
05-08 864
Windows资源是一种二进制数据,由链接器链接进程序成为程序的一部分,通过资源的方式可以很方便的对应用程序进行扩展。在Windows资源可以是系统自定义的,也可以是用户自定义的。在本篇文章为大家讲解菜单资源,上下文菜单,图标资源光标资源,加速键资源的创建方法,这里我使用的编译器为virtual studio2022版本。
PE总结13 --PE文件结构解析资源
oBuYiSeng的博客
12-11 2729
// 资源表2.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include #include #include DWORD RVA2Offset(DWORD dwRva, PIMAGE_NT_HEADERS32 pNt) { DWORD dwOffset = 0; PIMAGE_SECTION_HEADER pSection = I
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值