编写PE文件解析器(二)

最新推荐文章于 2025-08-13 13:05:02 发布
原创 最新推荐文章于 2025-08-13 13:05:02 发布 · 912 阅读 · 2 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#读取PE格式
本文详细解读了PE文件中导入表与资源目录的结构与使用方法,包括导入表的查找过程、导入模块与函数的读取、资源目录的层级结构以及如何遍历资源目录等内容。

因为是先写代码再写文字,代码在虚拟机里我给还原了...用的以前备份,所以后面一些东西可能有点出入...


5、IMAGE_DIRECTORY_ENTRY_IMPORT【导入表 - IMAGE_IMPORT_DESCRIPTOR

定位到导入表需要用IMAGE_DIRECTORY_ENTRY_IMPORT作为下标取数据目录的第二项,用之前定义的宏就是:

GET_IMAGE_DIRECTORY(PIMAGE_IMPORT_DESCRIPTOR,IMAGE_DIRECTORY_ENTRY_IMPORT,ImportDirectory);

这样可以定位到导入表数组的开头,导入表结构是一个IMAGE_IMPORT_DESCRIPTOR类型的数组。Name记录导入模块的名称,TimeDateStamp当为0时表示未绑定,-1表示用绑定导入表,其它值为绑定dll的时间戳。数组内的OriginalFirstThunk、FirstThunk 都各自指向(记录的是rva)OriginalThunk和Thunk数组的开头,数组类型是IMAGE_THUNK_DATA,区分32位和64位,不是同一个数组,但是内容一样。数组元素记录了指向IMAGE_IMPORT_BY_NAME结构的偏移(rva),在文件中是指向同一个IMAGE_IMPORT_BY_NAME,这个结构记录了该导入模块下的导入函数名;当被loader载入后,Thunk数组的内容会被修改为导入模块的真实函数地址。

IMAGE_THUNK_DATA中的Ordinal最高位为1表示按序号导入,其低16位为序号,如果最高位为0则AddressOfData(跟Ordinal同属一个联合体)是一个RVA,指向一个IMAGE_IMPORT_BY_NAME结构,用IMAGE_SNAP_BY_ORDINAL判断是否按序号导入,IMAGE_ORDINAL用来获取导入序号。

导入表数组长度可以用导入表大小/sizeof(IMAGE_IMPORT_DESCRIPTOR)得到。

这个表在iat hook的时候会用到。一般怎么用就写怎么读的代码,我用yield return的方法,于是就有了下面的coroutine代码:

bool PE::ReadImportDirectory(IN OUT PIMAGE_IMPORT_DESCRIPTOR& descriptor,OUT PTHUNK_DATA& originalThunk,OUT PTHUNK_DATA& thunk, bool isReadThunk, bool isReadOnceDescriptor, IN OUT PDWORD stat)
{
	static DWORD descriptorLength;
	switch (*stat)
	{
	default:
	case 0:
		*stat = 1;
		if (ImportDirectory == NULL && descriptor == NULL)
		{
			return false;
		}

		if (descriptor == NULL)
		{
			descriptor = ImportDirectory;
			descriptorLength = *ImportDirectorySize / sizeof(IMAGE_IMPORT_DESCRIPTOR) - 1;
		}
		else
		{
			descriptorLength = 1;
			isReadThunk = true;
			isReadOnceDescriptor = true;
		}
		
		while (descriptorLength)
		{
	case 1:
			originalThunk = NULL;
			thunk = NULL;
			*stat = 3;
			if (isReadThunk)
			{
				if (this->isUseRva)
				{
					originalThunk = PTHUNK_DATA(_filebuf + descriptor->OriginalFirstThunk);
					thunk = PTHUNK_DATA(_filebuf + descriptor->FirstThunk);
				}
				else
				{
					originalThunk = PTHUNK_DATA(_filebuf + RvaToRaw(descriptor->OriginalFirstThunk));
					thunk = PTHUNK_DATA(_filebuf + RvaToRaw(descriptor->FirstThunk));
				}
				// 遍历thunk
				while (originalThunk->thunkData32.u1.Ordinal && thunk->thunkData32.u1.Ordinal)
				{
					*stat = 2;
					return true;
	case 2:
					if (!isReadThunk)
					{
						break;
					}
					if (is32Pe)
					{
						originalThunk = PTHUNK_DATA(((PIMAGE_THUNK_DATA32)originalThunk) + 1);
						thunk = PTHUNK_DATA(((PIMAGE_THUNK_DATA32)thunk) + 1);
					}
					else
					{
						originalThunk = PTHUNK_DATA(((PIMAGE_THUNK_DATA64)originalThunk) + 1);
						thunk = PTHUNK_DATA(((PIMAGE_THUNK_DATA64)thunk) + 1);
					}
				}
				// goto xxx
			}
			else
			{
				return true;
	case 3:	
				if (isReadThunk)
				{
					continue;
				}
			}
			// xxx
			if (isReadOnceDescriptor)
			{
				break;
			}
			descriptor++;
			descriptorLength--;
		}
		break;
	}
	return false;
}

这个函数可以跳过导入函数名不读而只读导入模块名,或者读特定导入模块下的导入函数,或者用来遍历整个表也行,基本上一次遍历可以把想要想改的数据都解决,所以一般使用是没问题了,用这种方式来写纯粹是因为无聊,用前初始化好就行。

为了32位64位通用,里面thunk指针的定义是:

typedef union
{
	IMAGE_THUNK_DATA32 thunkData32;
	IMAGE_THUNK_DATA64 thunkData64;
}*PTHUNK_DATA;
如果想搜索导入了KERNEL32.dll的哪些函数,这里示范一下上面函数的用法(这里为了方便没有对Thunk的Ordinal进行判断,实际上是需要进行区分的,用IMAGE_SNAP_BY_ORDINAL判断的时候需要区分32或64位): 

PIMAGE_IMPORT_DESCRIPTOR des = NULL;
PE::PTHUNK_DATA ot;
PE::PTHUNK_DATA t;
DWORD stat;
bool isReadThunk = false;
bool isReadOnceDescriptor = false;

while (x->ReadImportDirectory(des, ot, t, isReadThunk, isReadOnceDescriptor, &stat))
{
	if (isReadThunk)
	{
		isReadOnceDescriptor = true;
		auto mm = PIMAGE_IMPORT_BY_NAME(x->_filebuf+x->RvaToRaw( ot->thunkData32.u1.AddressOfData));
		OutputDebugStringA(mm->Name);
		OutputDebugStringA("\r\n");
	}
	else
	{
		if(strcmp( x->_filebuf+x->RvaToRaw( des->Name),"KERNEL32.dll") == 0)
		{
			isReadThunk = true;
		}
	}
}

导入表我觉得描述的够清楚了,不用上图了。


6、IMAGE_DIRECTORY_ENTRY_RESOURCE【资源目录 - IMAGE_RESOURCE_DIRECTORY

树结构,节点中记录的偏移量都是相对根的位置。
简单来看就非叶节点是由一堆的IMAGE_RESOURCE_DIRECTORY结构组成的,这个结构的后面紧跟着一个IMAGE_RESOURCE_DIRECTORY_ENTRY结构数组(长度记录在IMAGE_RESOURCE_DIRECTORY结构中,分别以NumberOfNamedEntries、NumberOfIdEntries来区分ENTRY以什么方式命名),这个数组中的元素记录着下一个IMAGE_RESOURCE_DIRECTORY节点或叶子IMAGE_RESOURCE_DATA_ENTRY相对于根的偏移。

IMAGE_RESOURCE_DIRECTORY_ENTRY结构是这样区分指向的,它包含2个字段

第一个为名称或id,32位长度,最高位为1时代表这个字段低31位存的是名字的偏移,否则低16位表示的是id,使用IMAGE_RESOURCE_NAME_IS_STRING作为mask可以方便的在程序里判断,如果是偏移,会指向IMAGE_RESOURCE_DIRECTORY_STRING结构,这个结构不定长,是用WORD存储字符长度的一个字符串,具体看定义就清楚了;

第二个字段为指向节点IMAGE_RESOURCE_DIRECTORY或叶子IMAGE_RESOURCE_DATA_ENTRY的偏移,最高位为1表示低31位为节点相对根的偏移,否则低31位为数据存储位置相对根的偏移,用IMAGE_RESOURCE_DATA_IS_DIRECTORY判断。最后的叶子IMAGE_RESOURCE_DATA_ENTRY结构中存储的OffsetToData不是相对于根的偏移,而是rva,因为这东西是要放到内存用的,所以存rva计算量少会快一些。

一般资源目录要取到数据需要读3层IMAGE_RESOURCE_DIRECTORY,第一层为资源分类,第二层类似数据的序号也就是名字,第三层表示数据的语言,最后的叶子就是数据了。

整个资源目录在文件中是以层的优先顺序来存储的,就是以根->第一层所有的节点->第二层所有的节点->....这样的类似广度优先的方式存储

好像描述清楚了,不清楚翻一下数据结构的书好了,我懒就不画图了。

因为用到递归所以用函数指针吧,这样写就要一次读完所有内容,不过好在这个树结构一般不会太长:

void PE::ResDir_ReadResourceDirectory(PIMAGE_RESOURCE_DIRECTORY item, OUT PIMAGE_RESOURCE_DIRECTORY_ENTRY& entry, DWORD& numberOfEntries)
{
	numberOfEntries = item->NumberOfIdEntries + item->NumberOfNamedEntries;
	if (numberOfEntries>0)
	{
		entry = (PIMAGE_RESOURCE_DIRECTORY_ENTRY)((DWORD)item + sizeof(IMAGE_RESOURCE_DIRECTORY));
	}
	else
	{
		entry = NULL;
	}
}

void PE::ReadResourceDirectory(PResDir_ReadResourceDirectoryCallback resourceDirectoryCallback,
		PResDir_ReadDirectoryEntryCallback directoryEntryCallback,
		PResDir_ReadDataEntryCallback dataEntryCallback)
{
	return ReadResourceDirectory(ResourceDirectory, ResourceDirectory, resourceDirectoryCallback, directoryEntryCallback,dataEntryCallback);
}

void PE::ReadResourceDirectory(PIMAGE_RESOURCE_DIRECTORY father, PIMAGE_RESOURCE_DIRECTORY node,
		PResDir_ReadResourceDirectoryCallback resourceDirectoryCallback,
		PResDir_ReadDirectoryEntryCallback directoryEntryCallback,
		PResDir_ReadDataEntryCallback dataEntryCallback)
{
	// 读当前node
	if (resourceDirectoryCallback != NULL)
	{
		resourceDirectoryCallback(this,father, node);
	}
	DWORD numberOfEntries;
	PIMAGE_RESOURCE_DIRECTORY_ENTRY tmpEntry;

	ResDir_ReadResourceDirectory(node,tmpEntry,numberOfEntries);
	if (tmpEntry == NULL)
	{
		return;
	}
	for (int i = 0; i < numberOfEntries; i++)
	{
		if (directoryEntryCallback != NULL)
		{
			directoryEntryCallback(this, node, tmpEntry);
		}
		if (tmpEntry->DataIsDirectory)
		{
			// node
			ReadResourceDirectory(node, PIMAGE_RESOURCE_DIRECTORY((DWORD)this->ResourceDirectory + tmpEntry->OffsetToDirectory),
				resourceDirectoryCallback, directoryEntryCallback, dataEntryCallback);
		}
		else
		{
			// data
			if (dataEntryCallback != NULL)
			{
				dataEntryCallback(this, node, PIMAGE_RESOURCE_DATA_ENTRY((DWORD)this->ResourceDirectory + tmpEntry->OffsetToDirectory));
			}
		}
		
		tmpEntry++;
	}
}

几个回调的定义是: 

typedef void (*PResDir_ReadResourceDirectoryCallback)(PE* pe,PIMAGE_RESOURCE_DIRECTORY father, PIMAGE_RESOURCE_DIRECTORY item);
typedef void (*PResDir_ReadDirectoryEntryCallback)(PE* pe,PIMAGE_RESOURCE_DIRECTORY father, PIMAGE_RESOURCE_DIRECTORY_ENTRY item);
typedef void (*PResDir_ReadDataEntryCallback)(PE* pe,PIMAGE_RESOURCE_DIRECTORY father, PIMAGE_RESOURCE_DATA_ENTRY item);

然后是这样使用,用lambda比较方便:

auto aa = [](PE* pe,PIMAGE_RESOURCE_DIRECTORY father, PIMAGE_RESOURCE_DIRECTORY item)
{
	// 输出
};
auto bb = [](PE* pe,PIMAGE_RESOURCE_DIRECTORY father, PIMAGE_RESOURCE_DIRECTORY_ENTRY item)
{
	// 输出
};
auto cc = [](PE* pe,PIMAGE_RESOURCE_DIRECTORY father, PIMAGE_RESOURCE_DATA_ENTRY item)
{
	// 输出
};
x->ReadResourceDirectory(aa,bb,cc);

变量名测试方便就乱取了,如果不想输出哪一项就直接置NULL就行了。回调里可以取到根、父节点、当前节点,勉强能用,这里演示一下用法,还是按照具体情况来写比较好。


解析资源表
hambaga的博客
05-28 1228
一、资源表简介 资源表是PE所有表里边最复杂的表,造成资源表复杂是有历史原因的,简单说就是微软设计PE的时候错误的以为只要定义16中资源类型就够了,后来发现远远不够,但是PE结构已经定下来了,只能在原有基础上修改,因此就造成了资源表这块比较不好理解。 所谓的不好理解,就是它里边用到的结构,其中的属性会出现位段/位域的用法,同一个4字节,要根据高位判断它到底是一个整数还是一个偏移;然后偏移并不是RVA,而是相对于资源表的偏移。 但是这些并不能难倒我,我花了一天,把解析程序写出来了。 推荐一本书叫《WINDOW
PE总结12---PE文件结构之资源表 (IMAGE_RESOURCE_DIRECTORY)
oBuYiSeng的博客
12-11 7727
资源在PE中是以目录的形式存在的,一般有3层:资源类型,目标资源ID与资源代码页 都是以IMAGE_RESOURCE_DIRECTORY结构为头部的,并且后面跟着一个IMAGE_RESOURCE_DIRECTORY_ENTRY结构数组。 IMAGE_RESOURCE_DIRECTORY,负责指出后面数组中的成员个数 IMAGE_RESOURCE_DIRECTORY_ENTRY,数组成员分
PE文件学习(三)数据目录表之资源
SanSiro1的博客
08-26 2821
资源是PE文件中最复杂的结构了,资源在PE文件中是以目录结构的形式存在的,一般情况下分为3层,从根目录开始分别是资源类型、目录资源ID与资源代码页。      3层目录结构都是由一个IMAGE_RESOURCE_DIRECTORY结构为头部,后面跟着一个IMAGE_RESOURCE_DIRECTORY_ENTRY结构数组。       结构体IMAGE_RESOURCE_DIRECTORY_E
WINDOWS+PE权威指南读书笔记(12)
沐一 · 林 的博客
11-16 1276
目录 资源表 资源分类和定义: 位图、光标、图标资源: 菜单资源: 对话框资源: 自定义资源: PE 资源表组织: 资源表的组织方式: 资源表数据定位: 资源目录头IMAGE_RESOURCE_DIRECTORY: 资源目录项 IMAGE_RESOURCE_DIRECTORY_ENTRY: 资源数据项 IMAGE_RESOURCE_DATA_ENTRY: 三级结构中目录项的区别: 资源表遍历: PE 资源深度解析: 资源脚本示例: 使用 PElnfo 分析资源表: 资
PE格式第九讲,资源表解析
weixin_30433075的博客
10-23 321
        PE格式第九讲,资源表解析 一丶熟悉Windows管理文件的方法 首先,为什么标题是这个,主要是为了下边讲解资源方便,因为资源结构体很乱.如果直接拿出来讲解,那么就会很晕. 1.windows管理文件方法 树形结构 可以看出结构 根目录   子目录     文件.xxx   子目录     子目录 (子目录里面还可以有文件)   .....     那...
PE文件解析器编写)——PE文件头的解析
Masimaro的专栏
05-04 3553
之前在学习PE文件格式的时候,是通过自己查看各个结构,自己一步步计算各个成员在结构中的偏移,然后在计算出其在文件中的偏移,从而找到各个结构的值,但是在使用C语言编写这个工具的时候,就比这个方便的多,只要将对应的指针类型转化为各个结构类型,就可以使用指针中的箭头来直接寻址到结构中的各个成员。 这次主要说明的是PE文件头的解析,也就是之前看到的第一个界面中显示的内容
PE文件详解(C制作PE格式解析器)
CharlesGodX的博客
03-27 6315
0x00:前言 PE文件可以说是在逆向的各个领域都有涉及,特别是病毒领域,如果你是一名病毒制造者,那你肯定是对PE文件有详细的了解,那么这里我就详细介绍一下PE文件,最后我们用C来写一个PE格式解析器。 0x01:PE格式 要了解PE文件,首先要知道PE格式,那么什么是PE格式呢,既然是一个格式,那肯定是我们都需要遵循的定理,下面这张图就是PE文件格式的图片(来自看雪),非常大一张图片,其实PE格...
编写PE文件解析器(一)
当我在写代码的时候我在写什么
10-26 2051
第一篇先写一个PE格式解析器,学了那么久了写出来防止自己忘记,顺便练练手。PE格式解析是比较基础的内容,后面再越写越深。我写这个不是介绍pe格式,而是说编写解析代码,解释定义什么的网上一堆就不粘了,重要的定义我尽量简洁的描述清楚就行,如果想知道每一个定义或者字段是用来干嘛的,在pecoff文档里写的很清楚。业余时间写的,时间不充裕写得很慢,写错请斧正,转载请注明,高手轻批。 解析前需要弄
深入解析Windows PE文件格式解析器应用
最新发布
weixin_36178216的博客
08-13 1616
图形用户界面(GUI)设计对于PE解析器的易用性和普及率至关重要。一个直观、高效的用户界面可以提升用户交互体验,减少操作错误,快速达到用户目的。PE解析器的GUI设计理念是将复杂的技术细节抽象化,为用户提供简洁明了的操作流程和功能模块。通过精心布局的界面和工具,用户无需深入了解PE文件结构,即可执行常见的解析任务。软件保护机制旨在阻止未经授权的软件复制、逆向工程、破解和修改。这通常包括技术措施,如代码混淆、加密、许可证验证等。PE文件中常有许可证验证和数字签名等信息,这些都可以通过PE解析器进行分析。
IMAGE_DIRECTORY_ENTRY_RESOURCE
我爱密码学
08-07 5291
/**//* * Predefined Resource Types */#define RT_CURSOR           MAKEINTRESOURCE(1)#define RT_BITMAP           MAKEINTRESOURCE(2)#define RT_ICON             MAKEINTRESOURCE(3)#define RT_MENU        
资源表的详解
For Geek
05-02 3018
0x0 资源的简介 在Windows中,资源对于可执行文件而言是一个非常重要的存在,例如一个窗口,一个菜单都是一项资源信息,在PE文件的所有结构中,资源部分是最复杂的,所以本节我会很详细的介绍资源部分。 下面我们给出资源的定义: Windows程序的各种界面称为资源,包括加速键,位图,光标,对话框,图标,菜单,串表,工具栏和版本信息等。 我们先总的看下资源的总结构,先忽略细节。PE文件安排资源的结...
.idata数据的解析
ybb_y1b1b1的专栏
09-02 3132
每类Section代表不同的数据,不同的数据存储组织方式一定是有非常大区别的。代码段与资源段一定区别巨大,这意味着我需要一个一个的学习每个段的解析。   idata段解析 这个段主要存储的是导入符号信息。昨天花了很多时间研究符号的获取,但就在刚刚开始就卡壳了,很多人都是说读取了IMAGE_IMPORT_DESCRIPTOR,就可以获取到链接库名称,但这个字段是一个地址,我根本不能理解这个地址
PE文件解析-资源(Resource)
zhyulo的博客
01-06 5597
一、位置     PE文件头可选映像头中数据目录表的第3成员IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_DIRECTORY_ENTRY_RESOURCE]指向映像调试信息,它保存在PE文件中,通常在".rsrc"区段。 、资源简介     程序内部和外部的界面等元素的进制数据统称为资源,程序把它们放在一个特定的表中,符合数据和程序分离的设计原则。资源...
pe文件解析解决方案
m0_67990462的博客
03-24 154
【代码】pe文件解析解决方案。
PE文件分析-资源表
m0_48995611的博客
07-05 539
时间:202106 资源表 DESC: 记录PE文件中的资源信息。 RVA: IMAGE_DATA_DIRECTORY[2].VirtualAddress。 资源包括 Cursor, Bitmap, Icon, Menu, Dialog, String, Accelerator 等预定义的资源类型和自定义的资源类型, 不同资源类型用 ID 区分。 预定义资源类型ID 描述 1 Cursor 2 Bitmap Resource 3 Icon 4 Menu Resource
PE文件资源表更换
qq_38184895的博客
04-29 841
rescoure的更换 上次我们手工注入了dll,这次我们要更换的是calc.exe的 图标。我们的目的是替换这边的图标。桌面图标(32x32) 这是总的位置 现在我们开始分析 1. 资源表IMAGE_RESOURCE_DIRECTORY_ENTRY calc对应的位置 可见有8个IMAGE_RESOURCE_DIRECTORY_ENTRY 再根据第一个...
Windows逆向工程提升之IMAGE_RESOURCE_DIRECTORY
0xCC说逆向
05-24 2206
起始位置:由数据目录IMAGE_DIRECTORY_ENTRY_RESOURCE指定RVA,需转换为FOA访问。紧跟在每个IMAGE_RESOURCE_DIRECTORY结构之后的是多个目录条目。
PE文件信息解析(Win32, C++)
FlameCyclone的博客
02-05 959
PE文件信息解析助手类, 方便地解析PE文件常见信息
软件安全复习(恶意代码部分)
kjnsdg的博客
01-15 4406
软件安全复习(恶意代码部分)
PE文件结构分析及应用
d3582077的专栏
01-19 1123
ImageCount确定图标的数量,ResourceID在PE文件用于确定图标的ID,也就是上面的1,2,3,4,5。相对于位图在PE文件的储存方式,图标并没有像位图那样去掉了位图文件头,图标所有的数据都存储在PE文件里,但图标跟位图的区别不只这一点,图标在PE文件是分开来储存的,也就是图标被分为了两部分存储在PE文件里,这一点从“Id(资源类型ID)成员的取值”那里可以看出,3代表Icon(图标)14代表图标组(图标组)。//移到文件头位置,加4略过PE标志。//移到文件头位置,加4略过PE标志。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值