对PE资源的研究
副标题#e#
媒介:没什么好说的,发明这方面的资料全是英文的,于是我一边研究,一边翻译,一边写出本身的心得。
但愿各人尊重我的劳动成就,转贴保持完整。
资源一般利用树来生存,凡是包括3层,在NT下,最高层是范例,然后是名字,最后是语言。
一个PE文件是否包括资源文件,凡是检测块表(Section Table)中是否含有’.rsrc’,不外这个要领对有些PE文件无效。
一个范例表布局如下
——————————————————————————
| RESOURCE DIRECTORY |
——————————————————————————
| RESOURCE DATA |
——————————————————————————
资源表1(Resource File Layout)
个中的资源目次(RESOURCE DIRECTORY)布局如下:
——————————————————————————
| RESOURCE FLAGS |
——————————————————————————
#p#副标题#e#
| TIME/DATE STAMP |
——————————————————————————
| MAJOR VERSION |MINOR VERSION |
——————————————————————————
| # NAME ENTRY |# ID ENTRY |
——————————————————————————
| RESOURCE DIR ENTRIES |
——————————————————————————
资源表2(Resource Table Entry)
在DELPHI中的申明
{ Resources }
PIMAGE_RESOURCE_DIRECTORY = ^IMAGE_RESOURCE_DIRECTORY;
IMAGE_RESOURCE_DIRECTORY = packed record
Characteristics : DWORD;
TimeDateStamp : DWORD;
MajorVersion : WORD;
MinorVersion : WORD;
NumberOfNamedEntries : WORD;
NumberOfIdEntries : WORD;
end
个中:
RESOURCE FLAGS
凡是配置为0
TIME/DATE STAMP
资源编译器成立此资源的时间/日期,大概为0
MAJOR/MINOR VERSION
版本信息
# NAME ENTRY
利用名字的资源条目标个数,包括一个利用名字的目次条目标数组。
# ID ENTRY
利用ID数字的资源条目标个数,包括一个32位的整数ID号,同用名字一样。
这个目次紧接着会是一个不定长度的目次条目,不管用的名字照旧ID,都是用升序分列。
这个不定长度的目次布局如下:
31 0
——————————————————————
| NAME RVA/INTEGER ID |
——————————————————————
| E | DATA ENTRY RVA/SUBDIR RVA |
——————————————————————
资源表3(Resource Directory Entry)
在DELPHI中的申明:
PIMAGE_RESOURCE_DIRECTORY_ENTRY = ^IMAGE_RESOURCE_DIRECTORY_ENTRY;
IMAGE_RESOURCE_DIRECTORY_ENTRY = packed record
Name: DWORD; // Or ID: Word (Union)
OffsetToData: DWORD;
INTEGER ID
包括一个识别资源的整数ID
假如在根目次,这个ID暗示的意义如下
资源范例
1: cursor
2: bitmap
3: icon
4: menu
5: dialog
6: string table
7: font directory
8: font
9: accelerators
10: unformatted resource data
11: message table
12: group cursor
14: group icon
16: version information
NAME RVA
名字的相对实际地点,包括一个31位的相对资源的Image Base的地点。表的形式见表4
E 一位的不行缺少的识别码(mask 80000000h)
假如这位为0,则为Resource Data Entries,个中DATA RVA = 31位的(mask 7fffffffh) 数据条目标地点。布局见表5
假如这位为1,则暗示接另一个子目次(Subdirectory Entry)。
{ 此函数检讨 offset 是一个字符串名照旧一个目次 }
{ IMAGE_RESOURCE_NAME_IS_STRING
= IMAGE_RESOURCE_DATA_IS_DIRECTORY
= $80000000 }
function HighBitSet(L: Longint): Boolean;
begin
Result := (L and IMAGE_RESOURCE_DATA_IS_DIRECTORY) <> 0;
end;
{ 下面两个函数用于去掉E位剩下的值可能指针 }
{IMAGE_OFFSET_STRIP_HIGH = $7FFFFFFF;}
function StripHighBit(L: Longint): Longint;
begin
Result := L and IMAGE_OFFSET_STRIP_HIGH;
end;
function StripHighPtr(L: Longint): Pointer;
begin
Result := Pointer(L and IMAGE_OFFSET_STRIP_HIGH);
end;
每一个资源目次名为如下名目
——————————————————————
| LENGTH | UNICODE STRING |
——————————————————————
| LENGTH | UNICODE STRING |
——————————————————————
表4(Resource Directory String Entry)
在DELPHI中的申明
PIMAGE_RESOURCE_DIR_STRING_U = ^IMAGE_RESOURCE_DIR_STRING_U;
IMAGE_RESOURCE_DIR_STRING_U = packed record
Length : WORD;
NameString : array [0..0] of WCHAR;
end;
LENGTH
就是字符串的长度
UNICODE STRING
Unicode的字符串.
资源数据表布局:
—————————————
| DATA RVA |
—————————————
| SIZE |
—————————————
| CODEPAGE |
—————————————
| RESERVED |
—————————————
表5(Resource Data Entry)
在DELPHI中的申明
PIMAGE_RESOURCE_DATA_ENTRY = ^IMAGE_RESOURCE_DATA_ENTRY;
IMAGE_RESOURCE_DATA_ENTRY = packed record
OffsetToData : DWORD;
Size : DWORD;
CodePage : DWORD;
Reserved : DWORD;
end;
DATA RVA
资源的相对实际地点,包括一个32位相对付资源Image Base的地点。
SIZE
资源的巨细。
CODEPAGE
没什么说的,仿佛为译码方面配置的。
RESERVED
必然为0
好了,差不多资源这部门阐明玩了,其它部门我还在研究:)
