PE文件解析-资源中的工具条结构

最新推荐文章于 2024-05-09 09:44:08 发布
最新推荐文章于 2024-05-09 09:44:08 发布
阅读量206 收藏
点赞数
分类专栏: 文件解析 文章标签: PE文件解析 资源 工具条
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhyulo/article/details/87894807
版权

一、概述

    想要获取一个可执行文件(PE文件)里包含的资源文件,首先要解析可执行文件,得到资源存储的地址及大小,可参考 https://blog.csdn.net/zhyulo/article/details/85717711 。然后,根据资源存储方式,得到各资源的数据内容及其大小,可参考 https://blog.csdn.net/zhyulo/article/details/85930045 。

    PE文件的资源中,工具条的资源类型ID=241。并且每一个工具条都对应一个位图资源,用于存储工具条上的图样。在RC文件中,工具条的定义方式如下:

IDR_MAINFRAME           BITMAP  MOVEABLE PURE   "res\\Toolbar.bmp"

IDR_MAINFRAME TOOLBAR DISCARDABLE  16, 15
BEGIN
    BUTTON      ID_FILE_NEW
    BUTTON      ID_FILE_OPEN
    BUTTON      ID_FILE_SAVE
    SEPARATOR
    BUTTON      ID_EDIT_CUT
    BUTTON      ID_EDIT_COPY
    BUTTON      ID_EDIT_PASTE
    SEPARATOR
    BUTTON      ID_FILE_PRINT
    SEPARATOR
    BUTTON      ID_APP_ABOUT
END

显示效果如下:

二、工具条的资源结构

    工具条在资源中的存储结构如下:

struct ToolbarInfo
{
	WORD Version;//版本号,为1
	WORD Width;//宽度
	WORD Height;//高度
	WORD Count;//工具项数
	WORD wID[1];//按钮ID,分隔符ID=0
};

三、示例程序

    以下程序展示了如何从PE文件的工具条资源流中读取并输出成RC文件形式的代码。

void GetToolbar(void *buf, WORD id)
{
	struct ToolbarInfo
	{
		WORD Version;//版本号,为1
		WORD Width;//宽度
		WORD Height;//高度
		WORD Count;//工具项数
		WORD wID[1];//按钮ID,分隔符ID=0
	} *Info = (ToolbarInfo*)buf;
	PutIDName(id, "IDR_TOOLBAR");
	Puts(" TOOLBAR DISCARDABLE");
	Print(" %d, %d\nBEGIN\n",Info->Width,Info->Height);
	for(int i=0; i<Info->Count; i++)
	{
		if(Info->wID[i] == 0) Puts("\tSEPARATOR\n");
		else
		{
			Puts("\tBUTTON\t");
			PutIDName(Info->wID[i]);
			Puts("\n");
		}
	}
	Puts("END\n");
}

 

zhyulo
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
windows PE文件结构及其加载机制
liuyez123的博客
04-29 2万+
1. 概述PE文件的全称是Portable Executable,意为可移植的可执行的文件,常见的EXE、DLL、OCX、SYS、COM都是PE文件PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL)。它是1993年Windows NT系统引入的新可执行文件格式,到现在已经经过20多年了。虽然使用PE作为可执行文件格式的Windows操作系统已经更换了很多版本,其结构的变
PE 文件解析程序(含反汇编)
08-13
PE文件,全称为Portable Executable,是Windows操作系统用于执行的二进制文件格式,它包含了程序的机器代码、资源、符号表等信息。在Windows系统下,无论是应用程序、驱动程序还是动态链接库(DLL),都采用PE文件...
PE文件结构详解
神棍之路
07-20 9876
Windows程序的各种界面称为资源,包括加速键(Accelerator)、位图(Bitmap)、光标(Cursor)、对话框(DialogBox)、图标(Icon)、菜单(Menu)、串表(StringTable)、工具栏(Toolbar)和版本信息(VersionInformation)等。执行PE文件前,加载程序在进行重定位的时候,会用PE文件在内存的实际映像地址减PE文件所要求的映像地址,根据重定位类型的不同将差值添加到相应的地址数据。...
使用工具分析PE文件
qq_52185773的博客
02-21 1894
使用工具分析PE文件
探秘逆向工程利器:PE-bear
最新发布
gitblog_00015的博客
05-09 487
探秘逆向工程利器:PE-bear 项目地址:https://gitcode.com/hasherezade/pe-bear 在信息安全与恶意软件分析的领域,一款高效、稳定的逆向工具是必不可少的。今天,我们要介绍的就是这样一款多平台的PE文件分析工具——PE-bear。它以其快速、灵活的特点,为分析师提供了一种直观的“第一视图”,即使是处理异常的PE文件也能游刃有余。 项目介绍 PE-bear是一...
PE文件结构简述
热门推荐
Shanfenglan's blog
08-03 34万+
简述: PE文件结构分为五个部分: DOS文件头 DOS加载模块 PE文件头 区段表 区段 PE文件显示的所有地址基本都是RVA,倘若想要换算成VA一般需要加上基地址ImageBase与文件偏移地址RVA。 虚拟地址(VA=virtual address):每个32位PE文件被加载到内存的时候都会被分配4GB的虚拟内存,虚拟地址等于“程序的相对虚拟地址+基地址”。 相对虚拟地址(RVA=relatively virtual address):相对虚拟地址是相比较于文件开头的地
PE文件架构学习(一)
m0_75243362的博客
03-14 1194
PE文件是windows系统遵循PE结构文件,比如以.exe .dll .ocx .sys .com为后缀名的文件以及系统驱动文件。(可能是间接被执行的,如DLL)​ 官方解释链接​ 顾名思义,世界上各种东西都有自己特定的结构,最简单和直观理解的例子就是我们自己身体的结构,由一个各个部位和器官关节来组成的,而同样的,PE文件也有着它自己所独特的结构。只有有了特定的结构之后,整个文件才能更加有序和规律地去处理代码以及数据,去执行操作等一系列的过程。
ParsePe_等价替换PE文件指令_解析PE文件_
10-03
2. **NT头解析**:PE文件的主要结构是NT头,它包括两个部分:COFF(Common Object File Format)头和PE选项头。COFF头提供了关于文件的基本信息,如机器类型、节的数量等;PE选项头则包含更多元数据,如字符集、堆栈...
PDF文件结构查看器
02-13
PE文件结构包括文件头、节区、导入和导出表等,与PDF文件结构完全不同,但同样需要专门的工具进行解析。 综上所述,PDF文件结构查看器是一个强大的工具,可以帮助我们深入了解PDF文件的工作原理,进行数据提取和...
PE 文件解析
03-29
**PE文件解析** PE(Portable Executable)文件格式是Windows操作系统的可执行文件和动态链接库(DLL)的标准格式。这个格式包含了程序的代码、数据、资源和执行元数据,使得程序可以在Windows环境下运行。本篇...
PE结构详解1
06-19
3. **依赖管理**:通过导入表,操作系统负责解析并加载PE文件所依赖的其他DLL,确保所有必要的函数和资源可用。 4. **运行时环境**:PE文件结构还包括了对运行时环境的支持,例如线程局部存储(TLS)目录,用于管理...
PE小工具非常方便学习PE结构
01-21
PE小工具可以查看EXE文件PE结构,对新手学习PE结构帮助很大
lordPE强大的PE文件分析、修改、脱壳软件
03-04
LordPE,是一款功能强大的PE文件分析、修改、脱壳软件。LordPE是查看PE格式文件信息的首选工具,并且可以修改相关信息。
DIYPE解析器(做事无痕)
02-05
DIYPE解析器(做事无痕)
PE格式:手写PE结构解析工具
CSDN
11-15 5452
PE格式是 Windows下最常用的可执行文件格式,理解PE文件格式不仅可以了解操作系统的加载流程,还可以更好的理解操作系统对进程和内存相关的管理知识,而有些技术必须建立在了解PE文件格式的基础上,如文件加密与解密,病毒分析,外挂技术等,在PE文件我们最需要关注,PE结构,导入表,导出表,重定位表,下面将具体介绍PE的关键结构,并使用C语言编程获取到这些结构数据.
病毒分析系列2 | 使用PE工具进行初步静态分析
SpaceSec的博客
11-02 5871
接上篇。进行病毒分析时,在进行具体的病毒行为分析前,需要或许可疑文件的基本信息,此时可以使用pe工具进行分析和获取在该文章所涉及的知识主要是pe文件格式的相关知识,使用文字进行原理说明会相对冗余。
自定义工具条的使用(一)
牧马人
11-22 586
由ClassWiazrd创建的缺省的工具条是在MainFrame声明并初始化的。 class CMainFrame : public CFrameWnd { protected: // create from serialization only CMainFrame(); DECLARE_DYNCREATE(CMainFrame) // Attributes p
解析PE文件代码
qq_43445167的博客
07-03 627
图形界面暂时没做出来 暑假学学QT 读文件只能在主函数里写文件路径 , 是有点low… (流下了没技术的泪水) 头文件代码: #pragma once #include<Windows.h> class CPe { private: PTCHAR ptcFilePath; //PE文件路径 IMAGE_DOS_HEADER pe_cDosHeader; I...
C语言——PE文件解析(完整版)
yan_star的博客
11-15 7646
此次PE文件解析的内容:PE头、节表、导入表、导出表、重定位表 语言:C语言 编译器:VS2013 运行环境:win10 注:由于时间(懒)关系,备注的比较少,看不懂的地方,欢迎留言一起交流,也欢迎指正不当之处 #include &lt;stdio.h&gt; #include &lt;windows.h&gt; IMAGE_DOS_HEADER DosHeader; PIMAGE_...
vc编写pe文件解析工具
08-29
VC编写PE文件解析工具是一项非常有挑战性的任务,需要深入理解Windows操作系统以及PE文件格式的结构和内容。 首先,我们需要使用VC编写一个能够读取二进制文件的程序。通过使用WinAPI的相关函数,我们可以打开并...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值