程序所用到的各种资源,比如 bmp,cursor,menu,对话框等都存在PE文件中。
一 找到资源在文件中位置。
资源都放在PE文件的某个节中,该节的节表项中的PointerToRawData,就是资源节在文件中的位置。
1.1 得到PE Header在文件中的位置。DOS Header结构的成员e_lfanew,可以确定PE Header的在文件中的位置。
1.2 得到文件中节的数目。
1.3 得到节表在文件中的位置。安全 起见,还是用Signature的大小加上FileHeader的大小再加上FileHeader中的SizeOfOptionalHeade来确定比较保险。
1.4 得到资源节在文件中的位置。
这样我们就得到了资源在文件中开始的位置。
二 PE文件中的资源。
我们已经得到了资源节在文件中的位置。
typedef struct _IMAGE_RESOURCE_DIRECTORY {
IMAGE_RESOURCE_DIRECTORY后面一定会紧跟着一个IMAGE_RESOURCE_DIRECTORY_ENTRY数组。
typedef struct _IMAGE_RESOURCE_DIRECTORY_ENTRY {
这个结构长度为8个字节。共有两个字段,每个字段4个字节。
标示一个IMAGE_RESOURCE_DIRECTORY_ENTRY一般都是使用id,就是一个整数。
经过3层IMAGE_RESOURCE_DIRECTORY_ENTRY(一般是3层,也有可能更少些。第一层资源类型bmp,menu等等,第二层资源 名,第三层是资源的Language。)最终会找到一个IMAGE_RESOURCE_DATA_ENTRY结构,这个结构中存有相应(某资源类型,某资 源名,某资源Language)资源的位置和大小,就真正找到资源了。IMAGE_RESOURCE_DATA_ENTRY定义如下。
Size:资源的大小,以字节为单位。
上面是资源各种结构的说明,知道这些结构还远远不够,下面我们通过一个例子来看如何通过这些结构找到资源。
我们的例子是Win2k中的可执行文件telnet.exe。为了防止大家版本不同,本文附带了这个PE文件。
PE文件的资源的各种结构放在一个树型结构中,这个结构一般有3层,如图4.1,就是telnet.exe中的情况。
图4.1
图中长的长方形表示一个IMAGE_RESOURCE_DIRECTORY结构,长16个字节,简称directory。
为了以后的叙述方便还给树的每一个节点起了名字,第一层的叫11,第二层的叫21,22,23,24,第三层的叫31,32,33,34,35,36,37,38,39,310,311,312。
在资源节开始处,是一个directory结构,这个结构中指明了紧跟在它后面的一个directory_entry结 构数组中的元素的个数。这个directory结构之后,紧跟着的就是那个directory_entry结构数组。他们一起组成了11。就如图4.1中 所示。其他的每个节点,21,22..31,32..312,都是这样,每个 directory结构后面紧跟directory_entry 结构数组。11中的directory_entry结构数组中的每一个元素,都存有到下一层某个节点的偏移。也就是通过directory_entry结 构数组的每个元素可以找到21,22,23,24。其他的节点中情况也是一样。图中看不到的一点是,所有的节点之间都是紧紧的挨在一起存放的,11之后紧 跟着的是21,21之后紧跟着的是22,22之后紧跟着的是23。依此类推。directory_entry结构数组中的每一个元素除了有到下一层某节点 的偏移,(是下一层的节点,还是已经到了最终的data_entry,后面详细叙述)还有一个Name或者Id字段(是Name还是Id后面详细叙述), 根据不同的层,代表的含义也不一样。第一层的每个directory_entry的这个值,代表类型。比如11的第一个directory_entry的 Id值为3,3代表icon,从这个directory_entry往下的都是都是图标了(关于不同类型值的定义,后面详细叙述)。第二层每个 directory_entry的这个值代表Name,第三层代表Language。11,21,31的左边那个data_entry,的三个值分别为 3,1,409(都是16进制),就是说是一个图标类型,Name为1h,Language为409h的资源。
下面我们来通过telnet.exe中资源节的具体内容来看,用开始讲到的寻找资源节在文件中位置的方法,我们找到了资源节在文件中的位置为00013600h。
我们为了看起来清楚,每一行是一个结构,并且每个结构的不同成员用 / 分开,例如,
一个directory_entry结构 03 00 00 00 / 30 00 00 80
一个data_entry结构 E0 23 03 00 / 30 01 00 00 / E4 04 00 00 / 00 00 00 00
下面就是telnet.exe中的内容,可以用16进制编辑器打开附带的telnet.exe对照着看。
00013600h: 00 00 00 00 / 00 00 00 00 / 04 00 / 00 00 / 00 00 / 04 00
需要补充说明的是,每个directory后面紧跟的是directory_entry数组, directory_entry数组的每个元素,有两个字段,每个字段的高位用来判断该字段代表的含义。尤其是第二字段 OffsetToData ,如果高位为1表明还有下一层,指向另一个directory。如果高位为0,表明指向一个data_entry。directory_entry第一个 字段通常都是作为id,里面低WORD中的值,用来标示这个directory_entry,很少的情况下,第一字段保存一个到unicode字符串的偏 移(本例中000136a0h),用字符串来标示这个directory_entry。如果一个directory后两个字段都不为0的话,即后面紧跟的 directory_entry数组既有NamedEntries,又有IDEntries,那么directory_entry数组首先是 NamedEntries之后紧跟着IDEntries。一般情况下都是一般来说都是有三层,第一层中的directory_entry数组的每个元素的 id,代表不同的类型,不同类型的值在 WINGDI.H 中定义如下
#define DIFFERENCE 11HTML MAKEINTRESOURCE(23)
我们再来看几个data_entry
总结,找到资源节开始的位置,首先是一个directory,后面紧跟着directory_entry数 组,数组的每个元素代表的资源类型不同,通过每个元素,我们可以找到第二层另一个directory,后面紧跟着directory_entry数组。这 一层的数组的每个元素代表的资源Name不同。然后我们可以找到第三层的每个directory,后面紧跟着directory_entry数组。这一层 的数组的每个元素代表的资源Language不同。然后通过每个directory_entry我们可以找到每个data_entry。通过每个 data_entry,我们就可以找到每个真正的资源。
三 遍历PE文件中的资源
遍历那个树型结构,找到每个资源的方法之一是,
一个函数,用来处理directory和它后面紧跟着的directory_entry数组。比如叫 DumpResourceDirectory(),它的参数中的一个是一个directory的地址,函数根据这个地址,得到一个directory结 构,从中得到directory_entry数组元素的个数。然后for循环遍历每个元素,对于每个元素做判断看是否已经到了叶子,也就是 directory_entry的第二个字段的高位是否为0,是1表示没有到叶子,递归调用本函数,不过传入的参数,是根据这个 directory_entry中保存的另一个directory的地址。是0表示已经到了叶子,调用另一个处理叶子的函数,传入相关地址。
处理叶子的函数,用来处理data_entry结构,负责根据data_entry结构找到真正的资源。比如叫DumpResourceEntry(),它的参数中的一个是一个data_entry的地址。然后跟据data_entry中的值作处理。
这样,通过递归和判断,就能遍历PE文件中所有的资源。
用这种方法遍历图4.1中的树,顺序会是11,21,31,32,22,33,34,35,36,37,38,39,310,23,311,24,312。
这种遍历方法的源程序,可以参考 PEDUMP – Matt Pietrek 1995 。《Windows95系统程式设计 大奥秘》附书源码中有。
完
本文所使用的PE文件 telnet
