PE文件解析-资源中的菜单结构

最新推荐文章于 2025-10-21 11:02:46 发布
原创 最新推荐文章于 2025-10-21 11:02:46 发布 · 760 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#PE文件解析 #资源 #菜单
本文详细介绍了PE文件中的菜单资源结构,包括菜单头结构和菜单项结构,探讨了菜单资源作为顺序储存的多叉树式数据结构,并提供了示例程序展示如何解析和提取菜单资源。

一、概述

    想要获取一个可执行文件(PE文件)里包含的资源文件,首先要解析可执行文件,得到资源存储的地址及大小,可参考 https://blog.csdn.net/zhyulo/article/details/85717711 。然后,根据资源存储方式,得到各资源的数据内容及其大小,可参考 https://blog.csdn.net/zhyulo/article/details/85930045 。

    PE文件的资源中,菜单的资源类型ID=4,菜单可能通过字符串命名,但大部分都是通过ID区分命名,而菜单中的子菜单通过ID区别,菜单名只做信息提示及快捷键,不是区分子菜单的元素。菜单资源的存放实质上是一种顺序储存的多叉树式数据结构,用标志位来记录树节点间的关系。

 图1 深度优先存储的多叉树结构

二、菜单资源结构

1.菜单头结构

    菜单资源的指针指向的起始位置一般有4个字节的0,定义如下:

struct MenuHeader
{
	WORD wVersion;//版本号,为0
	WORD cbHeaderSize;//头大小,为0
};

     菜单头结构结构后紧跟着的是菜单项。

2.菜单项结构

    菜单项有两种:弹出菜单(POPUP)和普通菜单项(MENUITEM),注意,特殊的菜单项 -- 分隔符也是一个普通菜单项。弹出菜单项结构体PopupMenuItem与普通菜单项结构体NormalMenuItem的定义如下:

typedef struct
{
    WORD    fItemFlag; //菜单项标志
    WCHAR[] szItemText;//菜单名
} PopupMenuItem;

typedef struct
{
    WORD    fItemFlag; //菜单项标志
    WORD    wMenuID;   //菜单ID
    WCHAR[] szItemText;//菜单名
} NormalMenuItem;

1、fItemFlag是描述菜单项的标志集合,常见标志及对应的值如下(数据来源:WinUser.h):

#define MF_ENABLED          0x00000000L
#define MF_GRAYED           0x00000001L
#define MF_DISABLED         0x00000002L

#define MF_UNCHECKED        0x00000000L
#define MF_CHECKED          0x00000008L
#define MF_USECHECKBITMAPS  0x00000200L

#define MF_STRING           0x00000000L
#define MF_BITMAP           0x00000004L
#define MF_OWNERDRAW        0x00000100L

#define MF_POPUP            0x00000010L
#define MF_MENUBARBREAK     0x00000020L
#define MF_MENUBREAK        0x00000040L
#define MF_END              0x00000080L

    以上这些常量定义是windows惯常使用的方式,以二进制不同的标志位代表不同的含义,通过逻辑运算可以很方便的做出不同的参数设置。搞过Windows编程的,对这种方法早已烂熟于心。简单举例,一个选中的(Checked)、非活动的(Disabled)、分栏断开(MenuBarBreak)的普通菜单项的fItemFlag:

    MF_DISABLED | MF_CHECKED | MF_MENUBARBREAK = 0x0002| 0x0008 | 0x0020 = 0x002A

2、wMenuID用于唯一标识菜单。只有普通菜单项有,弹出菜单没有该结构。

3、szItemText指向一个宽字符的Unicode字符串,'\0'结束。比如"新建\t(&N)",其中(&N)代表出现该菜单时,按下快捷键N即可选中该菜单。如果该项直接为0,则代表该菜单项为分隔符。

三、示例程序

    PE文件的菜单资源提取,可以使用递归方式进行。

    首先取出一个字fItemFlag,判断是否是弹出菜单(MF_POPUP位置1),不是再取出一个子wMenuID。接下来就是菜单名字符串szItemText。再判断fItemFlag,如果MF_POPUP位置1,进入下一层递归;如果MF_END置1,结束当前一层递归;否则,调到第一步,循环执行。

    以下程序展示了如何从PE文件的菜单资源流中取并输出成RC文件形式的代码。


void CopyOut(const char *str, int n)
{
	for(int i=0; i<n; i++) Puts(str);
}

WORD* GetMenuItem(WORD *ItemFlags, int lay)
{
	WORD *MenuID=NULL, *ItemText;
	CopyOut("\t", lay++);
	Puts("BEGIN\n");//菜单开始
	while(1)
	{
		CopyOut("\t", lay);
		if(*ItemFlags & MF_POPUP)//弹出式菜单项
		{
			Puts("POPUP");
			ItemText = ItemFlags + 1;
		}
		else
		{
			Puts("MENUITEM");
			MenuID = ItemFlags + 1;
			ItemText = MenuID + 1;
		}

		if(!*ItemText)//菜单分隔符
		{
			Puts(" SEPARATOR");
			ItemText++;
		}
		else
		{
			Puts(" \"");
			ItemText = (WORD*)WPuts((WCHAR*)ItemText);
			Puts("\"");
			if(!(*ItemFlags & MF_POPUP))//ID号
			{
				Puts(", ");
				PutIDName(*MenuID, "ID_MENUITEM");
			}
			if(*ItemFlags & MF_GRAYED) Puts(", GRAYED");//灰色
			if(*ItemFlags & MF_DISABLED) Puts(", INACTIVE");//未激活
			if(*ItemFlags & MF_BITMAP) Puts(", BITMAP");//位图
			if(*ItemFlags & MF_OWNERDRAW) Puts(", OWNERDRAW");//自画
			if(*ItemFlags & MF_CHECKED) Puts(", CHECKED");//已选中
		}
		Puts("\n");
		if(*ItemFlags & MF_POPUP) ItemText = GetMenuItem(ItemText, lay);
		if(*ItemFlags & MF_END) break;//菜单结束
		ItemFlags = ItemText;
	}
	CopyOut("\t", lay-1);
	Puts("END\n");//菜单结束
	return ItemText;
}

void GetMenu(void *buf, WORD id)
{
	struct MenuHeader
	{
		WORD wVersion;//版本号,为0
		WORD cbHeaderSize;//头大小,为0
	} *head = (MenuHeader*)buf;
	PutIDName(id, "IDR_MENU");
	Puts(" MENU DISCARDABLE\n");
	GetMenuItem((WORD*)(head + 1), 0);
}

 

pe个性启动菜单制作
06-25
制作属于自己喜欢的pe启动菜单,喜欢什么就换什么,各种任性
PE结构详解
weixin_44870554的博客
12-09 878
PE文件结构 PE文件是portable File Format(可移植文件)的简写 PE的解释:PE文件是指某一种格式的文件 比如可执行文件(exe) 动态链接库文件(dll) 驱动文件(sys)等 PE文件大概分为两部分:头与主体 两部分会在内部进行细分 PE格式文件的组成: DOS头部: 为兼容DOS程序设立 NT头部 : 存储PE文件的全部属性 初始化信息等 区段头表: 对于PE文件...
PE文件格式学习(五):资源表(Resource)
tutucoo
11-07 1960
1.概述 程序内部和外部的界面等元素的二进制数据统称为资源,程序把它们放在一个特定的表中,符合数据和程序分离的设计原则。 Windows程序中的资源大致分为六类:菜单、对话框、位图、光标、图标、自定义资源 资源表是数据目录表中的第三个元素,排在导入表的后面。 2.资源解析 资源表的解析比较复杂,可能是所有数据目录表中最复杂的一个。我将结合例子说明,这样会比较好理解。 我们的文件在十六进制工具01...
PE文件解析资源解析
zhang14916的博客
12-19 1411
根据PE文件格式我们可以快速找到目录表数组位置,在目录表数组中我们可以找到资源表在哪里 我们看出资源表位置为0x4000,大小为0xb20。 资源表所对应数据结构为IMAGE_RESOURCE_DIRECTORY typedef struct _IMAGE_RESOURCE_DIRECTORY {           DWORD   Characteristics;         ...
PE文件资源解析(八)字符串资源解析
老狼的专栏
04-22 910
字符串资源,在这里指的是资源类型为RT_STRING的资源信息。通过ResHacker看到的效果图如下: 字符串资源存储编码格式是UNICODE,解析代码如下: HRSRC hResrc = ::FindResourceEx((HMODULE)hModule, lpType, lpName, wLanguage); DWORD dwSize = ::SizeofResource((HM...
PE文件结构之记笔记
YANG12345_6的博客
03-16 1007
之前学过PE,但由于是只看的小甲鱼的视频,没有做笔记,后来就记忆模糊了。 再重温一遍,做一下笔记。记忆更深刻一点。 PE PE(protable executable) 可移植的可执行文件 EXE和DLL文件之间的区别是语义上的,他们使用完全相同的PE格式。唯一的区别:用一个字段标识出EXE或DLL。 64位Windows,新的PE : PE32+。普通PEPE32.PE32+没有任何新的结构加进去。 PE格式定义的主要地方位于头文件 winnt.h,头文件中几乎能找到关于PE文件的所有定
WINDOWS+PE权威指南读书笔记(13)
沐一 · 林 的博客
11-26 1044
目录 资源菜单资源解析: 图标资源解析: 图标组资源解析: 对话框资源解析资源表编程: 更改图标实验: 提取程序图标实例: 更改程序图标实例: 总结: 资源菜单资源解析: 以下内容以 PE.exe 为例,首先来看对菜单资源解析。 首先回顾一下前面菜单目录的菜单的汇编语言语法: 菜单项的语法格式如下: 菜单资源定位: 从 PEInfo 中查看到菜单资源的位置和大小分别是: 口文件位置: 0x00001018 口菜单项大小: 1
WindowsPE 第七章 资源
天使也掉毛
01-15 1974
第七章 资源表     在程序设计中,总会设计一些数据。这些数据可能是源代码内部需要用到的常量,菜单选项、界面描述等;也可能是源代码外部的,比如程序的图标文件、北京音乐文件、配置文件等,以上这些数据统称为资源。按照程序与数据分离的设计思想,最理想的方案是单独为程序所需要的数据安排一节来存储-PE中的资源就是这么做的。 7.1资源分类     资源数据在PE里是最复杂的一种。其难度主要体现在对
WINDOWS+PE权威指南读书笔记(12)
沐一 · 林 的博客
11-16 1276
目录 资源资源分类和定义: 位图、光标、图标资源菜单资源: 对话框资源: 自定义资源PE 资源表组织: 资源表的组织方式: 资源表数据定位: 资源目录头IMAGE_RESOURCE_DIRECTORY: 资源目录项 IMAGE_RESOURCE_DIRECTORY_ENTRY: 资源数据项 IMAGE_RESOURCE_DATA_ENTRY: 三级结构中目录项的区别: 资源表遍历: PE 资源深度解析资源脚本示例: 使用 PElnfo 分析资源表: 资
eXeScope工具深度解析与DLL/PE文件修改实战
最新发布
weixin_30700095的博客
10-21 487
eXeScope是一款经典的PE文件资源查看与编辑工具,广泛应用于逆向工程、软件本地化及界面定制领域。它能够直接解析Windows可执行文件中的资源结构,支持图标、位图、对话框、菜单字符串表的提取与修改。其无需源码即可对资源进行可视化操作的特性,使其成为快速修改第三方程序界面元素的实用工具。尤其在老旧软件维护、汉化项目和安全研究中,eXeScope提供了轻量级且高效的分析入口,是理解PE资源组织机制的理想起点。
PE 资源-字符串
02-21 528
根据 字串ID查找 PE中对应的资源,字串的ID不是显式存在,需要通过计算得出
PEPE文件结构学习
dr0op's blog
03-31 1761
PEPE文件结构学习PE文件内存对齐文件对齐PE结构分析DOS头结构PE文件区块表输入表输出表:基址重定位表: PE文件 内存对齐 PE文件包括: DLL,EXE,OCX,SYS等。 Windows加载器遍历PE文件并将其复制到内存镜像。PE文件结构在磁盘中和内存中基本是一样的,但又不是完全复制,对齐方式有所不同。 如图:在Windows系统中,一个节在内存中对齐单位是一个页的大小。 对于32位操作系统来说,这个值是4KB(1000H) 对于64位系统来说,这个值是8KB(2000H) 文件
修改PE文件中的硬编码字符串
sollyday的专栏
11-04 2024
<br /> <br /> 工作中遇到了需要修改Windows下可执行文件和Mac下可执行文件中的字符串问题,现在记录下来,方便今后查阅(会随时修改添加内容)。<br /> <br /> 修改Windows下EXE文件中非资源字符串的经历总结如下:<br /> <br />  这里只用的一个工具就够了UltraEdit,目标工具在Free Mac DVD Creator页面的这个苹果下的DVD创建软件。<br /> <br />  用UltraEdit打开DVD Creator,点击Search-》Rep
PE文件及其结构
include的博客
04-05 1426
PE文件 1.什么叫PE文件 PE (Portable Executeable File Format,可移植的执行体文件格式),使用该格式的目的是使连接生成的EXE文件能在不同的CPU指令下工作。 Windows中可执行程序有很多种,COM,PIF,SCR,EXE等,这些文件的格式大部分都继承于PE。其中EXE是最常见的PE文件,动态链接库(大部分以dll为扩展名的文件)也是PE文件。 2.PE...
PE文件格式详解(八)
weixin_30838921的博客
10-23 241
0x00 前言 前面了解了PE文件的输入和输出,今天来看看另一个重要的结构——资源资源结构是很典型的树形结构,层层查找,最终找到资源位置。 0x01 资源结构介绍 Windows程序的各种界面成为资源,包括加速键,位图,光标,对话框,图标,菜单,串标,工具栏,版本信息等等,在所有的PE文件资源结构是最为复杂的。下图为资源的树形结构图: 通常来讲,资源的目录为三层结构。最上...
PE文件结构学习笔记
★果冻★的专栏
02-19 5097
PE文件结构作者:姜江E-mail:jznsmail@163.netBlog:http://blog.csdn.net/jznsmail/QQ:457283PE文件布局                                                                             PE表头(PE Header)    PE表头包涵程序代码、资料区域大小、
PE文件资源解析(十)菜单资源解析
老狼的专栏
04-22 388
菜单资源,在这里指的是资源类型为RT_MENU的资源信息。通过ResHacker看到的效果图如下: 待续...
手把手教你,如何用PE启动U盘快速安装windows系统/重装系统-20240310
热门推荐
博大博的博客
03-10 3万+
手把手教你,如何用PE启动U盘快速安装windows系统
PE-资源
megaparsec
12-19 2322
PE资源PE中的相关资源可以通过程序进行深度定位,所获取的二进制字节码与资源脚本语句之间是一一对应的这些数据可能是源代码内部需要用到的常景,比如 菜单选项、界面描述等;也可能是源代码外部的,比如程序的图标文件、背景音乐文件、配置 文件等,以上这些数据统称为资源
使用菜单资源
苏白的专栏
10-06 2174
一、选项菜单的使用         下面还是通过一个实例来演示菜单资源的使用。本实例定义了一个文件系统的菜单信息,主菜单包括File、Edit和Help三个菜单项。File菜单有New、Open和Save子菜单项;Edit菜单有Cut、Copy和Paste子菜单项;Help菜单有About和Exit子菜单项。其中主菜单分别添加了图标。File子菜单带有快捷键,Edit子菜单采用单选按钮。Help
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值