PE文件解析-资源中的字符串结构

最新推荐文章于 2024-02-21 10:16:49 发布
原创 最新推荐文章于 2024-02-21 10:16:49 发布 · 1.4k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#PE文件解析 #资源 #字符串

一、概述

    想要获取一个可执行文件(PE文件)里包含的资源文件,首先要解析可执行文件,得到资源存储的地址及大小,可参考 https://blog.youkuaiyun.com/zhyulo/article/details/85717711 。然后,根据资源存储方式,得到各资源的数据内容及其大小,可参考 https://blog.youkuaiyun.com/zhyulo/article/details/85930045 。

    PE文件的资源中,字符串的资源类型ID=6。字符串在资源中分组存储,每组最多16个,以ID号分段,[ID/16]值相同的在同一组。在RC文件中,字符串的定义方式如下:

STRINGTABLE PRELOAD DISCARDABLE 
BEGIN
	IDR_MAINFRAME           "test\n\nTest\n\n\nTest.Document\nTest Document"

END

STRINGTABLE PRELOAD DISCARDABLE 
BEGIN
	AFX_IDS_APP_TITLE       "test"
	AFX_IDS_IDLEMESSAGE     "就绪"
END

二、字符串的资源结构

    字符串在资源中,以固定16个字符串的方式进行存储。假如该组字符串资源在资源树的第二层中的ID值是baseID,其中一个字符串在改组的序号为index,那么该字符串的真实ID=(baseID-1)*16+index。

    由于字符串中间可能包括'\0',字符串的长

最低0.47元/天 解锁文章

200万优质内容无限畅学
PE——PE结构中数据表
优快云-ych
03-19 770
PE结构中的数据包主要作用是用于引导操作系统去怎么操作这个文件,大多是为了程序能顺利运行起来做一些前置准备工作。 PE结构中的数据表由可选文件中的DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES]; 字段来指示。 这个字段中有IMAGE_NUMBEROF_DIRECTORY_ENTRIES个下面的结构,IMAGE_NUMBEROF_DIRECTORY_ENTRIES也就是可选文件中的NumberOfRvaAndSizes。 struct _IMAGE_DAT
PE文件资源表
甜筒八部 的专栏
04-07 675
这里的RVA我们可以定位到资源表的位置 资源定义 Windows 将程序的各种界面定义为资源,包括加速键(Accelerator)、位图(Bitmap)、光标(Cursor)、对话框(Dialog Box)、图标(Icon)、菜单(Menu)、串表(String Table)、工具栏(Toolbar)和版本信息(Version Information)等。 资源有很多种类型,每种类型的资源中可能存在多个资源项,这些资源项,用不同的ID 或名称来区分。但是,要将这么多种类型的不同ID ...
PE文件资源解析(八)字符串资源解析
老狼的专栏
04-22 843
字符串资源,在这里指的是资源类型为RT_STRING资源信息。通过ResHacker看到的效果图如下: 字符串资源存储编码格式是UNICODE,解析代码如下: HRSRC hResrc = ::FindResourceEx((HMODULE)hModule, lpType, lpName, wLanguage); DWORD dwSize = ::SizeofResource((HM...
PE格式详解(八)
LewisCheng的专栏
08-31 2848
          上次讲了输出区段,还是比较简单的,但输入区段内容就稍稍多了点,保持耐心阿,这是本系列关于PE格式部分的最后一讲啦!         输入区段(Import Section),包含了所有从DLL中引用的函数的信息。与输出区段类似,这些信息是由几个数据结构描述的,其中最重要的是输入目录表(Import Directory)与输入地址表(Import Address Tabl
字符串常量也能在程序运行后修改 通过修改PE文件格式 跳过其属性,改成可读写属性
yeook的专栏
12-16 1174
#include void fun(char szBuffer[]){ int i=0; for (i=0;szBuffer[i]!=/0;i++) {  szBuffer[i]=A;  //实参字符串是常量,其值不可以被修改 将引发错误;  但是可以用WinHex打开.exe文件修改其属性    //找到.rdata开始往下数2行半修改40值为C0  则可以直接运行该程序   且输出
PE文件解析-资源中的对话框结构
zhyulo的博客
03-06 932
一、概述 想要获取一个可执行文件(PE文件)里包含的资源文件,首先要解析可执行文件,得到资源存储的地址及大小,可参考 https://blog.youkuaiyun.com/zhyulo/article/details/85717711。然后,根据资源存储方式,得到各资源的数据内容及其大小,可参考 https://blog.youkuaiyun.com/zhyulo/article/details/85930...
PE文件解析-资源中的菜单结构
zhyulo的博客
01-31 716
一、概述     想要获取一个可执行文件(PE文件)里包含的资源文件,首先要解析可执行文件,得到资源存储的地址及大小,可参考 https://blog.youkuaiyun.com/zhyulo/article/details/85717711 。然后,根据资源存储方式,得到各资源的数据内容及其大小,可参考 https://blog.youkuaiyun.com/zhyulo/article/details/85930...
PE文件解析-资源中的版本信息结构
zhyulo的博客
02-23 2633
一、概述     想要获取一个可执行文件(PE文件)里包含的资源文件,首先要解析可执行文件,得到资源存储的地址及大小,可参考 https://blog.youkuaiyun.com/zhyulo/article/details/85717711 。然后,根据资源存储方式,得到各资源的数据内容及其大小,可参考 https://blog.youkuaiyun.com/zhyulo/article/details/85930...
PE文件解析-资源(Resource)
zhyulo的博客
01-06 5343
一、位置     PE文件头可选映像头中数据目录表的第3成员IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_DIRECTORY_ENTRY_RESOURCE]指向映像调试信息,它保存在PE文件中,通常在".rsrc"区段。 二、资源简介     程序内部和外部的界面等元素的二进制数据统称为资源,程序把它们放在一个特定的表中,符合数据和程序分离的设计原则。资源...
滴水逆向三期 PE解析 资源表
四位的博客
06-16 1775
概要 资源表采取目录的形式, 就和我们常用的访问文件夹性质是一样的, 每一级都是同一结构, 每一级之前又有一个结构来判断当前级是否为目录. 文章采用两种方式来理解 利用文件目录理解 根据结构解析 代码实现 分析 根据结构解析 文件结构: 注意事项: 结构中涉及的偏移计算方式均为 第一个目录(DataDirectory[2]所指向的结构)的偏移加上其值 譬如本例中所有偏移均已pResourceDirectory的地址作为基准. 故定义变量dwPRD指代其值 一 目录表定位到资源表位置 可以看到红色标红两项
修改PE文件中的硬编码字符串
sollyday的专栏
11-04 1975
<br /> <br /> 工作中遇到了需要修改Windows下可执行文件和Mac下可执行文件中的字符串问题,现在记录下来,方便今后查阅(会随时修改添加内容)。<br /> <br /> 修改Windows下EXE文件中非资源字符串的经历总结如下:<br /> <br />  这里只用的一个工具就够了UltraEdit,目标工具在Free Mac DVD Creator页面的这个苹果下的DVD创建软件。<br /> <br />  用UltraEdit打开DVD Creator,点击Search-》Rep
PE 资源表-字符串
最新发布
02-21 465
根据 字串ID查找 PE中对应的资源,字串的ID不是显式存在,需要通过计算得出
PE文件格式详解(下)
08-04 1107
预定义段   一个Windows NT的应用程序典型地拥有9个预定义段,它们是.text、.bss、.rdata、.data、.rsrc、.edata、.idata、.pdata和.debug。一些应用程序不需要所有的这些段,同样还有一些应用程序为了自己特殊的需要而定义了更多的段。这种做法与MS-DOS和Windows 3.1中的代码段和数据段相似。事实上,应用程序定义一个独特的段的方法是使用标
PE文件结构1
m0_51227834的博客
02-04 240
/ MZ标志WORD e_cp;WORD e_ss;WORD e_sp;WORD e_ip;WORD e_cs;// PE文件头偏移。
[安全攻防进阶篇] 七.恶意样本检测之编写代码自动提取IAT表、字符串及时间戳溯源
杨秀璋的专栏
08-12 8554
系统安全绕不开PE文件PE文件又与恶意样本检测及分析紧密相关。前文作者带领大家逆向分析两个CrackMe程序,包括逆向分析和源码还原。这篇文章主要介绍了PE文件基础知识及恶意样本检测的三种处理知识,手动编写代码实现了提取IAT表、二进制转字符串及获取PE文件时间戳,这是恶意样本分析和溯源至关重要的基础,并且网络上还没见到同时涵盖这三个功能且详细的文章,希望对您有所帮助。术路上哪有享乐,为了提升安全能力,别抱怨,干就对了~
[MFC]文档字符串、HKEY_CLASSES_ROOT注册表、.reg注册表文件
Lirx_Tech的专栏
09-23 2765
1. 文档字符串的定义:     1) 也是LoadFrame可以加载的第四种资源(图标、菜单、加速键之外的第四种资源);     2) 定义方式例如: STRINGTABLE PRELOAD DISCARDABLE BEGIN IDR_MAINFRAME "SdiSquares\n\nSdiSqu\nSdiSqu Files (*.sqr)\n.sqr\nSd
[MFC]PropDemo程序:属性表的应用
Lirx_Tech的专栏
09-10 2060
1. 属性表的功能和大致创建步骤:     1) 属性表是Windows提供的非常良好的性能之一,用于调节应用程序的相关参数,比如我的电脑右键后点击属性跳出的含有好几个选项卡的的对话框就是属性表;     2) 属性表在Win32 API中的实现相当琐碎,但是MFC有了主结构的支持使得其实现属性表相当容易;     3) 实现属性表的两个MFC类——CPropertySheet和CPrope
PE文件格式详解(6)
马说@优快云
12-29 2168
导出数据段,.edata  .edata段包含了应用程序或DLL的导出数据。在这个段出现的时候,它会包含一个到达导出信息的导出目录。WINNT.Htypedef struct _IMAGE_EXPORT_DIRECTORY {  ULONG Characteristics;  ULONG TimeDateStamp;  USHORT MajorVersion;  USHORT MinorVer
深入解析PE文件结构 - 学习PE Dump源代码
2. resdump.cpp:该文件极有可能涉及资源段的解析资源段中包含了程序的图标、菜单、对话框、字符串表等资源信息。这部分对于理解程序界面和某些程序功能至关重要。 3. COMMON.cpp:可能包含了各种共用函数和数据...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值