这是我收藏的一篇文章,在作者的主页上还有pedump的delphi源代码--棒!!!.
对PE资源的研究 作者:万重
主页:http://mantousoft.51.net
邮箱:mantousoft@sina.com
前言:没什么好说的,发现这方面的资料全是英文的,于是我一边研究,一边翻译,一边写出自己的心得。
希望大家尊重我的劳动成果,转贴保持完整。
资源一般使用树来保存,通常包含3层,在NT下,最高层是类型,然后是名字,最后是语言。
一个PE文件是否包含资源文件,通常检测块表(Section Table)中是否含有'.rsrc',不过这个方法对有些PE文件无效。
一个类型表结构如下
——————————————————————————
| RESOURCE DIRECTORY |
——————————————————————————
| RESOURCE DATA |
——————————————————————————
资源表1(Resource File Layout)
其中的资源目录(RESOURCE DIRECTORY)结构如下:
——————————————————————————
| RESOURCE FLAGS |
——————————————————————————
| TIME/DATE STAMP |
——————————————————————————
| MAJOR VERSION |MINOR VERSION |
——————————————————————————
| # NAME ENTRY |# ID ENTRY |
——————————————————————————
| RESOURCE DIR ENTRIES |
——————————————————————————
资源表2(Resource Table Entry)
在DELPHI中的申明
{ Resources }
PIMAGE_RESOURCE_DIRECTORY = ^IMAGE_RESOURCE_DIRECTORY;
IMAGE_RESOURCE_DIRECTORY = packed record
Characteristics : DWORD;
TimeDateStamp : DWORD;
MajorVersion : WORD;
MinorVersion : WORD;
NumberOfNamedEntries : WORD;
NumberOfIdEntries : WORD;
end
其中:
RESOURCE FLAGS
通常设置为0
TIME/DATE STAMP
资源编译器建立此资源的时间/日期,可能为0
MAJOR/MINOR VERSION
版本信息
# NAME ENTRY
使用名字的资源条目的个数,包含一个使用名字的目录条目的数组。
# ID ENTRY
使用ID数字的资源条目的个数,包含一个32位的整数ID号,同用名字一样。
这个目录紧接着会是一个不定长度的目录条目,不管用的名字还是ID,都是用升序排列。
这个不定长度的目录结构如下:
31 0
——————————————————————
| NAME RVA/INTEGER ID |
——————————————————————
| E | DATA ENTRY RVA/SUBDIR RVA |
——————————————————————
资源表3(Resource Directory Entry)
在DELPHI中的申明:
PIMAGE_RESOURCE_DIRECTORY_ENTRY = ^IMAGE_RESOURCE_DIRECTORY_ENTRY;
IMAGE_RESOURCE_DIRECTORY_ENTRY = packed record
Name: DWORD; // Or ID: Word (Union)
OffsetToData: DWORD;
INTEGER ID
包含一个识别资源的整数ID
如果在根目录,这个ID表示的意义如下
资源类型
1: cursor
2: bitmap
3: icon
4: menu
5: dialog
6: string table
7: font directory
8: font
9: accelerators
10: unformatted resource data
11: message table
12: group cursor
14: group icon
16: version information
NAME RVA
名字的相对实际地址,包含一个31位的相对资源的Image Base的地址。表的形式见表4
E 一位的不可缺少的识别码(mask 80000000h)
如果这位为0,则为Resource Data Entries,其中DATA RVA = 31位的(mask 7fffffffh) 数据条目的地址。结构见表5
如果这位为1,则表示接另一个子目录(Subdirectory Entry)。
{ 此函数检验 offset 是一个字符串名还是一个目录 }
{ IMAGE_RESOURCE_NAME_IS_STRING
= IMAGE_RESOURCE_DATA_IS_DIRECTORY
= $80000000 }
function HighBitSet(L: Longint): Boolean;
begin
Result := (L and IMAGE_RESOURCE_DATA_IS_DIRECTORY) <> 0;
end;
{ 下面两个函数用于去掉E位剩下的值或者指针 }
{IMAGE_OFFSET_STRIP_HIGH = $7FFFFFFF;}
function StripHighBit(L: Longint): Longint;
begin
Result := L and IMAGE_OFFSET_STRIP_HIGH;
end;
function StripHighPtr(L: Longint): Pointer;
begin
Result := Pointer(L and IMAGE_OFFSET_STRIP_HIGH);
end;
每一个资源目录名为如下格式
——————————————————————
| LENGTH | UNICODE STRING |
——————————————————————
| LENGTH | UNICODE STRING |
——————————————————————
表4(Resource Directory String Entry)
在DELPHI中的申明
PIMAGE_RESOURCE_DIR_STRING_U = ^IMAGE_RESOURCE_DIR_STRING_U;
IMAGE_RESOURCE_DIR_STRING_U = packed record
Length : WORD;
NameString : array [0..0] of WCHAR;
end;
LENGTH
就是字符串的长度
UNICODE STRING
Unicode的字符串.
资源数据表结构:
—————————————
| DATA RVA |
—————————————
| SIZE |
—————————————
| CODEPAGE |
—————————————
| RESERVED |
—————————————
表5(Resource Data Entry)
在DELPHI中的申明
PIMAGE_RESOURCE_DATA_ENTRY = ^IMAGE_RESOURCE_DATA_ENTRY;
IMAGE_RESOURCE_DATA_ENTRY = packed record
OffsetToData : DWORD;
Size : DWORD;
CodePage : DWORD;
Reserved : DWORD;
end;
DATA RVA
资源的相对实际地址,包含一个32位相对于资源Image Base的地址。
SIZE
资源的大小。
CODEPAGE
没什么说的,好像为译码方面设置的。
RESERVED
一定为0
好了,差不多资源这部分分析玩了,其它部分我还在研究:)
