PE文件解析-资源中的对话框结构

最新推荐文章于 2021-02-19 20:14:28 发布
最新推荐文章于 2021-02-19 20:14:28 发布
阅读量914 收藏 2
点赞数
分类专栏: 文件解析 文章标签: PE文件解析 资源 对话框
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zhyulo/article/details/88239145
版权

一、概述

    想要获取一个可执行文件(PE文件)里包含的资源文件,首先要解析可执行文件,得到资源存储的地址及大小,可参考 https://blog.youkuaiyun.com/zhyulo/article/details/85717711 。然后,根据资源存储方式,得到各资源的数据内容及其大小,可参考 https://blog.youkuaiyun.com/zhyulo/article/details/85930045 。

    PE文件的资源中,对话框的资源类型ID=5。对话框不仅可以通过ID区别,也可以通过对话框名区别,也就是说对话框在资源树的第二层可能是数字,也可能是字符串,这点需要注意。

    对话框可以说是资源中最重要、最复杂的一种。它在结构上分为2种:基本对话框和扩展对话框。而由于对于一些属性,既可能是字符串ID,又可能直接就是字符串,所以在这里又把它们的存储设计了一种新的方式。而由于对话框上有不同控件,不同控件所需的参数又不尽相同,所以解析对话框在资源中的数据流一直是一个难点。在博主的不断的努力下,才揭开了它的神秘面纱。

    在RC文件中,基本对话框和扩展对话框的定义如下所示:

IDD_ABOUTBOX DIALOG DISCARDABLE  0, 0, 235, 55
STYLE DS_MODALFRAME | WS_POPUP | WS_CAPTION | WS_SYSMENU
CAPTION "关于 test"
FONT 9, "宋体"
BEGIN
    ICON            IDR_MAINFRAME,IDC_STATIC,11,17,20,20
    LTEXT           "test 1.0 版",IDC_STATIC,40,10,119,8,
                    SS_NOPREFIX
    LTEXT           "版权所有 (C) 2019",IDC_STATIC,40,25,119,8
    DEFPUSHBUTTON   "确定",IDOK,178,7, 50,14,WS_GROUP
END

IDD_TEST_DIALOG DIALOGEX  0, 0, 320, 200 
STYLE DS_MODALFRAME | WS_POPUP | WS_VISIBLE | WS_CAPTION | WS_SYSMENU
EXSTYLE WS_EX_APPWINDOW
CAPTION "test"
FONT 9, "宋体"
BEGIN
    DEFPUSHBUTTON   "确定",IDOK,260,7,50,14
    PUSHBUTTON      "取消",IDCANCEL,260,23,50,14
    LTEXT           "TODO: 在这里设置对话控制。",IDC_STATIC,50,90,200,8
END

二、ID与字符串组合结构

    由于对于一些属性,既可能是字符串ID,又可能直接就是字符串,所以在这里又把它们的存储设计了一种新的方式。注意,这里的字符串都是Unicode字符串。如果该结构的第一个字是0xFFFF,说明该结构是一个ID,ID值为第二个字。否则,该结构是一个字符串,以'\0'结束。我们这里把这个结构定义为IDStr。

三、基本对话框的资源结构

    基本对话框包括对话框头和子控件2部分组成。对话框头与每一个子控件4字节对齐。

1.对话框头

    对话框头的结构如下所示:

struct DialogBoxHeader
{
	DWORD Style;//标准窗口样式
	DWORD ExStyle;//扩展窗口样式
	WORD DlgItems;//控件数量
	WORD x;//起点坐标
	WORD y;
	WORD cx;//宽
	WORD cy;//高
	IDStr menuName;//菜单名
	IDStr ClassName;//类名
	IDStr szCaption;//对话框标题
};

    如果Style的DS_SETFONT位为1,那么在DialogBoxHeader的结构后还有字体结构,字体结构如下:

struct DialogFont
{
	WORD wPointSize;//字体大小
	WCHAR FontName[1];
};

2.子控件

    基本对话框的子控件结构如下:

str
最低0.47元/天 解锁文章
PE文件解析-资源(Resource)
zhyulo的博客
01-06 5256
一、位置     PE文件头可选映像头中数据目录表的第3成员IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_DIRECTORY_ENTRY_RESOURCE]指向映像调试信息,它保存在PE文件中,通常在".rsrc"区。 二、资源简介     程序内部和外部的界面等元素的二进制数据统称为资源,程序把它们放在一个特定的表中,符合数据和程序分离的设计原则。资源...
Windows API调用对话框资源
huanghuihuang1991的专栏
05-10 870
本教程的目的在于在VC编程环境下通过调用系统API显示文件信息。文本文件的信息将在编辑框中得到显示
PE文件增添启动时对话框
03-17
http://blog.youkuaiyun.com/wudaijun/article/details/8684822 增强对地址空间,文件映射,PE文件格式的理解和应用。 用VS2008开发。
PE文件资源解析(十一)对话框资源解析
老狼的专栏
04-22 365
对话框资源,在这里指的是资源类型为RT_DIALOG资源信息。通过ResHacker看到的效果图如下: 待续......
PE文件节区添加并弹出简单的对话框
12-03
PE文件自动添加节区,并弹出一个简单的对话框(可以自己修改成其它的东西)
自定义对话框res资源文件
weixin_45799690的博客
02-19 121
** 2015-10-8上午11:13:09 wangzhongyuan */ package com.shjc.jsbc.view2d.dialog; import android.app.Dialog; import android.content.Context; import android.view.View; import com.CL.CrazyRacing.game.R; /** buySuccessDialog 购买成功提示,对话框, 调用buySuccessDialog.Inst
Android 自定义对话框(第九 十 节课 )
weixin_45809860的博客
01-17 204
第九课 1.Toast . Toast是Android中用来显示显示信息的一种机制,和Dialog不一样的是,Toast是没有焦点的,而且Toast显示的时间有限,过一定的时间就会自动消失。 Android为Toast提供的两个静态的方法最为方便,它们会返回一个Toast对象,如果需要显示,只需要调用show()方法显示即可,下面是这两个方法的签名: static Toast makeText(Context context,int resId,int duration).static Toast make
详解详解windows的PE文件格式.zip_PE 文件格式_PE格式解析_windows PE
09-23
PE文件中的资源表存储了各种类型的资源,如图标(ICO)、位图(BMP)、字符串、对话框模板等。这些资源在程序运行时可以被动态地访问和使用。 ### 5. 程序入口点 每个PE文件都有一个程序入口点(Entry Point),这...
pe文件解析:读取pe信息获取文件资源(源码)
03-01
- **资源目录**:在PE文件的数据目录中,有一个资源表,它以树状结构组织了各种资源,如位图、图标、对话框、字符串、版本信息等。 - **资源项**:每个资源都有一个唯一的标识符,包括类型(如RT_ICON)、名字(如...
读取PE文件资源
weixin_33910460的博客
09-10 451
    在上一篇文章里,已经讲解了加载PE文件的导入表。本篇简要介绍PE文件资源表的结构和定位方式。 所谓资源表(resource table),就是通常在IDE的资源视图中所看到的那个Tree视图,因此资源表在PE文件中同样是这样的一种类似资源管理器一样的树状逻辑结构。     对树,我们不能想类似导入表那样当作线性表中的数组去比较简单直观的加载,而是要用递归函数去重建,这是因为树的定义就...
QT开发之添加资源文件对话框
习惯积淀的博客
01-15 365
对话框 #include "mainwindow.h" #include "ui_mainwindow.h" #include <QDialog> #include <QMessageBox> #include <QDebug> #include <QFileDialog> #include <QColor> #include <Q...
[Win32汇编教程3-对话框资源文件的使用]
Dark Night
07-28 1062
Windows 的资源文件 不管在Dos下编程还是在Windows下编程,我们总是要用到除了可执行文件外的很多其他数据,如声音数据,图形数据,文本等等,在Dos下编程,我们可以自己定义这些文件的格式,但这样一来就造成了很多资源共享的问题,大家可能还记的Dos下的很多游戏,它们的图形都是按自己的格式存放的,你无法用标准的看图软件来看。也无法把它另存为其他格式。虽然在Win32编程中,我们仍然可以这样做,但Win32编程给了我们一个方案 ---- 就是格式统一的资源文件,把字符串、图形、对话框包括上面
win32 DLL中创建的的对话框资源被应用程序调用无法识别的问题
linux_hsylar的博客
07-19 1165
今天使用win32封装了一个DLL,DLL中有很多对话框资源,然后应用程序加载这个DLL后创建对话框时找不到对话框资源,我程序中使用的是CreateDialog,第一个参数是Hinstance类型,之前使用的是如下代码: //获取应用程序实例句柄: HInstance  hInstance = (HINSTANCE ) GetWindowLong( NULL, GWL_HINSTANCE );
PE感染-添加节区
收集学习过程中对自己有帮助的牛人文章
12-02 1324
#include #include #include //本程序只适用于载入基址定位的。。。非随机基址 //感染指定目录的PE文件 char ItIs[MAX_PATH] = "D:\\桌面\\感染PE\\感染目录"; //添加了一个新节区 //然后shellcode是添加一个名为a,密码为a的administrator //然后PEB定位kernel32只在我的win7 x64电脑上测试
PE文件添加节显示启动信息...
doskey的专栏
10-07 2126
闲来写了个修改PE的小程序,主要是演示和实践PE操作和重定位的概念,实在没事情的时候,可以看看,你将会看到PE文件实际上很简单!当然,首先得作好被我的垃圾代码扫了雅兴的准备.  这里利用的是我前面介绍的方法的手动查找API的方法.这个东西修改PE并在最后加上一节,节名.hum,被附加程序启动前会显示一个MsgBox,以显示一些信息,你可以用来给自己破的软件来一个所谓的版权信息(我最痛恨的就
PE结构资源
SMOne
06-27 3099
一、前言 二、PE整体结构 三、DOS头 四、NT头 五、区头 六、导出表 七、导入表 八、资源表 九、其他表 1.概念 程序中通常包含图片、菜单、控件、不同样式的文本等多种多样的内容。 这些内容或界面元素,都以二进制的形式保存在PE文件中。 这些数据保存的位置,就是PE文件资源(.rsrc) 这些数据的组织格式,我们成为资源表 2.资源表定...
分析pe文件资源(学习)
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
07-02 1213
PE文件,全称Portable       Executable文件,是Windows系统可执行文件采用的普遍格式,像我们平时接触的EXE、DLL、OCX,甚至SYS文件都属于PE文件的范畴。为了在可执行文件中方便的引用其它类型资源内容,PE文件有一个独立的资源,将程序执行所需要的全部资源文件链接到PE文件内部方便使用。今天我们就来研究一下PE文件资源的内容与格式。 在研究PE文件资源
深入解析PE文件感染与VC6.0源码结构
PE文件是微软Windows操作系统中的可执行文件格式,全称为Portable Executable(便携式可执行),在讨论PE文件感染时,我们主要关注恶意软件(通常称为病毒、蠕虫或木马)如何感染或修改正常的PE文件。VC6.0指的是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值