PE文件解析-资源中的位图、图标与光标结构

最新推荐文章于 2023-05-08 00:45:00 发布
原创 最新推荐文章于 2023-05-08 00:45:00 发布 · 2.2k 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#PE文件解析 #资源 #位图 #图标 #光标

本文详细介绍了PE文件中位图、图标和光标资源与对应独立文件(bmp、ico、cur)在数据结构上的差异。在位图资源中,BITMAPFILEHEADER文件头被省略,可通过补加该头信息提取位图。图标资源的文件头与图片数据分开存储,光标资源类似但包含热点数据。提供了提取这些资源的步骤和代码示例。

一、概述

    想要获取一个可执行文件(PE文件)里包含的资源文件,首先要解析可执行文件,得到资源存储的地址及大小,可参考 https://blog.youkuaiyun.com/zhyulo/article/details/85717711 。然后,根据资源存储方式,得到各资源的数据内容及其大小,可参考 https://blog.youkuaiyun.com/zhyulo/article/details/85930045

    PE文件的资源中,位图、图标与光标的存储格式与bmp位图、ico图标与cur光标的文件的存储格式不太一样。具体表现在文件头PE资源中的缺失、·分离。但是具体的图片颜色数据,则没有变化。bmp位图、ico图标与cur光标文件格式,可参考 https://blog.youkuaiyun.com/zhyulo/article/details/85934728 。PE资源与独立文件的差别,具体见下面内容:

二、位图资源与bmp文件在数据结构上的差别

    位图资源类型ID=2。位图资源与bmp文件在数据结构上的唯一差别,表现在bmp文件的BITMAPFILEHEADER文件头结构,在位图资源中的缺失。而信息头、调色板、位图点阵数据,则没有差别。所以,在位图资源的数据前,补加BITMAPFILEHEADER文件头,另存为bmp文件,就可以做到PE文件位图资源的文件提取了。

    首先回顾一下BITMAPFILEHEADER文件头的定义:

typedef struct tagBITMAPFILEHEADER {
        WORD    bfType;      //文件标识,规定为0x4D42,字符显示就是'BM'
        DWORD   bfSize;      //文件大小
        WORD    bfReserved1; //保留,必须设置为0
        WORD    bfReserved2; //保留,必须设置为0
        DWORD   bfOffBits;   //从头到点阵数据的偏移
} BITMAPFILEHEADER, FAR *LPBITMAPFILEHEADER, *PBITMAPFILEHEADER;

    可以看到,BITMAPFILEHEADER文件头并没有什么重要的信息(这也是资源中该结构被丢弃的原因吧)

最低0.47元/天 解锁文章
c++实现PE文件图标提取
HeroNeverDie的博客
01-06 2733
PE文件图标资源是储存在资源表中的,其中图标ID为3 图标组ID为14 只要遍历图标组得到图标头数据和对应图标ID 再根据图标ID遍历资源表得到图标数据 然后合成完整图标数据就可以了,以下为具体实现代码… #include "stdafx.h" #include #include #include using namespace std; //根据内存偏移地址RVA得到文件偏移地址
PE结构->【资源表】Resources Table
u011513939的博客
06-21 1645
很多朋友都想通过自己动手修改一些游戏的资源、工具的界面、或者一些软件的图标等,都知道要改资源部分。但纯粹一进去就像走进了迷宫……出不来…… 虽然说是迷雾重重,但是本节的学习确意义非凡,例如我们可以对游戏进行汉化!怎么样?刺激吧?给力吧?我们可以自己汉化我们喜欢的**游戏哦! 资源结构 资源PE文件中非常重要的部分,几乎所有的PE文件中都包含着资源导入表和导出表相比,资源的组织方式
PE文件结构详解
leolewin的博客
08-23 3004
1.M_DOS头部结构体: IMAGE_DOS_HEADER STRUCT { +00h WORD e_magic // Magic DOS signature MZ(4Dh 5Ah) DOS可执行文件标记 +02h WORD e_cblp // Bytes on last page of file +04h WORD e_cp // Pages in file +0
PE文件资源解析(十二)自定义图像资源解析
老狼的专栏
04-22 513
图像资源解析,跟之前篇章介绍,从内存中加载图像资源方法一样,具体代码实现方法如下: HRSRC hResrc = ::FindResourceEx((HMODULE)hModule, lpType, lpName, wLanguage); DWORD dwSize = ::SizeofResource((HMODULE)hModule, hResrc); HGLOBAL hGlobal = ...
PE文件资源解析(二)图标资源解析
老狼的专栏
04-21 757
EnumResourceLanguages回调函数里面涵盖了我们所需要的几个参数信息,定义如下: BOOL CALLBACK EnumResourceLanguagesProc( HMODULE hModule,//PE文件实例句柄 LPCSTR lpType, //资源类型 LPCSTR lpName, //资源名称 WORD wLa...
PE文件资源解析(三)图标资源解析
老狼的专栏
04-21 1521
图标文件,在这里指的是资源类型为RT_GROUP_ICON的资源信息。通过ResHacker看到的效果图如下: 既然是图标组,里面肯定包含很多组图标解析代码如下: HRSRC hResrc = ::FindResource(hModule, lpName, RT_GROUP_ICON); HGLOBAL hGlobal = ::LoadResource(hModule, hResrc...
Windows PE资源分析:光标图标结构详解
PE(Portable Executable)是Windows操作系统中的可执行文件格式,它包含了许多资源,如光标位图图标等。本文重点讲解了光标资源结构和组成。" 在PE资源分析中,光标资源是一种常见的元素,主要用于定义应用...
JIURL PE 格式学习总结(四)-- PE文件中的资源.docx
12-07
本文主要探讨PE文件中的资源部分,如位图(BMP)、光标、菜单和对话框等,以及如何在PE文件中定位和遍历这些资源资源PE文件中的位置通常是存储在名为".rsrc"的特定节(section)中。要找到资源文件中的位置...
源码分析:EXE文件PE结构解析技术
以上源代码文件资源文件的列表表明,该程序可能是一个用于分析PE文件结构的工具,提供了一个图形界面让用户能够浏览和解释PE文件的各个组成部分。这些组成部分包括但不限于: - DOS头(DOS header):每个PE文件...
PE文件结构解析
eli的博客
12-01 6766
说明:本文件中各种文件头格式截图基本都来自看雪的《加密解密》;本文相当《加密解密》的阅读笔记。 1.PE文件总体结构 PE文件框架结构,就是exe文件的排版结构。也就是说我们以十六进制打开一个.exe文件,开头的那些内容就是DOS头内容,下来是PE头内容,依次类推。 如果能认识到这样的内含,那么“exe开头的内容是不是就直接是我们编写的代码”(不是,开头是DOS头内容)以及“我们编写的代码被编排到了exe文件的哪里”(在.text段,.text具体地址由其相应的IMAGE_SECTION_HR
修改PE文件位图图标 C语言源代码 适合想了解PE文件资源组织方式的读者
11-22
修改或导出PE文件中的位图图标,源程序是用C语言+Windows API编写的,适合想要了解PE文件结构PE文件资源组织方式、以及位图图标组织方式的读者。
PE文件解析(C#)
06-28
PE文件解析的c#实现 PE文件解析的c#实现
HTML网站源码-装修设计案例展示响应式网页模板-响应式源码.zip
最新发布
03-27
这款HTML网站源码采用了尖端的响应式网页设计,为你的在线展示赋予了无伦比的灵活性和魅力。不论是在狭窄的手机屏幕还是宽敞的桌面显示器上,它都能以优雅的姿态展现内容,提供无缝的用户体验。这套源码融合了最新技术,让搭建一个专业级别的网站变得轻而易举,适合从个人品牌推广到企业级项目展示的各种需求。 它的设计理念不仅注重视觉美感,还兼顾了操作便捷性,让非技术背景的用户也能轻松管理和更新网站。此外,这套源码优化了搜索引擎的检索路径,让你的内容更容易被找到,增加了曝光率和访问流量。 投资这份专业的HTML网站源码,你将拥有一个兼具美观、功能性和效率的在线平台,它将是你在数字世界中取得成功的强力支撑
PE文件资源解析(四)光标资源解析
老狼的专栏
04-21 429
图标文件,在这里指的是资源类型为RT_CURSOR的资源信息。通过ResHacker看到的效果图如下: 解析代码如下: HRSRC hResrc = ::FindResourceEx((HMODULE)hModule, lpType, lpName, wLanguage); DWORD dwSize = ::SizeofResource((HMODULE)hModule, hResr...
分析PE格式文件中的图标信息
lbird
02-09 3074
 PE格式的资源段是比较复杂的,目前几种介绍PE格式的书籍在介绍到这部分时都是不够深入(本人认为写得比较好的有《Windows95系统程式设计奥秘》候捷译本),因此不得不拿起工具自已研究,分析PE格式比较好的工具有:stud_PE,UltraEdit等。以下记录我在研究图标资源时的过程,请结合PE格式分析教材阅读 步骤:1、得到资源段的偏移地址;用Stud_PE打开PE格式
PE文件资源解析(六)位图资源解析
老狼的专栏
04-21 516
位图资源,在这里指的是资源类型为RT_BITMAP的资源信息。解析相对来说比较简单,代码如下: HBITMAP hBitmap = LoadBitmap(hModule, lpName); if (hBitmap) { Gdiplus::Bitmap* pBitmap = (Gdiplus::Bitmap*)Gdiplus::Bitmap::FromHBITMAP(hBitmap, NULL...
win32 5.2 图标光标
OneTrianee的博客
05-20 503
图标光标都是图形资源,其在程序中显示分两步: 首先先将找到该图片路径,并且加载到内存中,返回一个对应的资源句柄,表示其该资源在内存中的位置。 然后在程序中使用该句柄,调用有关资源。 注意:基本所有资源都要这两步,先加载到内存返回句柄,然后程序调用句柄来使用其资源,而不是程序直接从磁盘中读取显示文件,这个逻辑一定要理清。 图标光标资源定义: 图标ID ICON [DISCARD...
Windows编程资源,菜单资源图标资源光标资源,上下文菜单,字符串资源,加速键资源
WdIg-2023的博客
05-08 1044
Windows资源是一种二进制数据,由链接器链接进程序成为程序的一部分,通过资源的方式可以很方便的对应用程序进行扩展。在Windows中资源可以是系统自定义的,也可以是用户自定义的。在本篇文章中为大家讲解菜单资源,上下文菜单,图标资源光标资源,加速键资源的创建方法,这里我使用的编译器为virtual studio2022版本。
PE总结13 --PE文件结构解析资源表
oBuYiSeng的博客
12-11 2830
// 资源表2.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include #include #include DWORD RVA2Offset(DWORD dwRva, PIMAGE_NT_HEADERS32 pNt) { DWORD dwOffset = 0; PIMAGE_SECTION_HEADER pSection = I
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值