PE文件解析-资源中的版本信息结构

最新推荐文章于 2026-05-09 12:01:02 发布
原创 最新推荐文章于 2026-05-09 12:01:02 发布 · 2.7k 阅读 · 2 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#PE文件解析 #资源 #版本信息
本文详细介绍了如何解析PE文件中的资源,特别是版本信息。首先概述了获取资源文件的方法,接着详细剖析了版本信息的资源结构,包括其多叉树存储方式和数据头的组成。最后,通过示例程序演示了如何读取和输出版本信息资源的内容。

一、概述

    想要获取一个可执行文件(PE文件)里包含的资源文件,首先要解析可执行文件,得到资源存储的地址及大小,可参考 https://blog.csdn.net/zhyulo/article/details/85717711 。然后,根据资源存储方式,得到各资源的数据内容及其大小,可参考 https://blog.csdn.net/zhyulo/article/details/85930045

    PE文件的资源中,版本信息的资源类型ID=16。在RC文件中,版本信息的定义方式如下:

VS_VERSION_INFO VERSIONINFO
 FILEVERSION 1,0,0,1
 PRODUCTVERSION 1,0,0,1
 FILEFLAGSMASK 0x3fL
#ifdef _DEBUG
 FILEFLAGS 0x1L
#else
 FILEFLAGS 0x0L
#endif
 FILEOS 0x4L
 FILETYPE 0x1L
 FILESUBTYPE 0x0L
BEGIN
    BLOCK "StringFileInfo"
    BEGIN
        BLOCK "080404B0"
        BEGIN
            VALUE "CompanyName", "\0"
            VALUE "FileDescription", "PE文件资源提取 Microsoft 基础类应用程序\0"
            VALUE "FileVersion", "1, 0, 0, 1\0"
            VALUE "InternalName", "PE文件资源提取\0"
            VALUE "LegalCopyright", "版权所有 (C) 2017\0"
            VALUE "LegalTrademarks", "\0"
            VALUE "OriginalFilename", "PE文件资源提取.EXE\0"
            VALUE "ProductName", "PE文件资源提取 应用程序\0"
            VALUE "ProductVersion", "1, 0, 0, 1\0"
        END
    END
    BLOCK "VarFileInfo"
    BEGIN
        VALUE "Translation", 0x804, 1200
    END
END

相对应的程序版本信息,可以通过右键->属性->详细信息查看,如下:

二、版本信息的资源结构

    版本信息在资源中的存储是以顺序储存的多叉树式数据结构,同时,4字节对齐存储。每个树节点包括数据头和数据内容两部分,都是4字节对齐,其中数据头的数据结构如下:

struct VersionInfo
{
	WORD wLength;//结构总长度
	WORD wValueLength;//信息长度
	WORD wType;//信息类型(1-字符串,0-二进制)
	WCHAR szKey[1];//Unicode 字符串 KEY 域
};

wLength:以该树节点为起点的所有节点的字节大小,包括本节点;
wValueLength:本节点的数据内容大小;
wType:本节点的数据类型(1-字符串,0-二进制);
szKey:Unicode字符串,标识该节点的KEY值,以'\0'为结束符。

    数据头后紧跟着的就是数据内容,数据类型以wType(1-字符串,0-二进制)区分。注意:如果是字符串的话,数据字节数=wValueLength*2,因为是Unicode字符串,该字符串中间可能包括'\0'。如果wValueLength=sizeof(VS_FIXEDFILEINFO),则说明是跟节点。VS_FIXEDFILEINFO结构体定义如下:

typedef struct tagVS_FIXEDFILEINFO
{
    DWORD   dwSignature;            /* e.g. 0xfeef04bd */
    DWORD   dwStrucVersion;         /* e.g. 0x00000042 = "0.42" */
    DWORD   dwFileVersionMS;        /* e.g. 0x00030075 = "3.75" */
    DWORD   dwFileVersionLS;        /* e.g. 0x00000031 = "0.31" */
    DWORD   dwProductVersionMS;     /* e.g. 0x00030010 = "3.10" */
    DWORD   dwProductVersionLS;     /* e.g. 0x00000031 = "0.31" */
    DWORD   dwFileFlagsMask;        /* = 0x3F for version "0.42" */
    DWORD   dwFileFlags;            /* e.g. VFF_DEBUG | VFF_PRERELEASE */
    DWORD   dwFileOS;               /* e.g. VOS_DOS_WINDOWS16 */
    DWORD   dwFileType;             /* e.g. VFT_DRIVER */
    DWORD   dwFileSubtype;          /* e.g. VFT2_DRV_KEYBOARD */
    DWORD   dwFileDateMS;           /* e.g. 0 */
    DWORD   dwFileDateLS;           /* e.g. 0 */
} VS_FIXEDFILEINFO;

    数据内容后如果还有数据,则该数据为本节点的子节点数据,可以通过递归实现。

三、示例程序

    以下程序展示了如何从PE文件的版本信息资源流中读取并输出成RC文件形式的代码。

void CopyOut(const char *str, int n)
{
	for(int i=0; i<n; i++) Puts(str);
}

char* GetVersion(char *buf, int lay=0)
{
	//计算版本信息块大小
	struct VersionInfo
	{
		WORD wLength;//结构总长度
		WORD wValueLength;//信息长度
		WORD wType;//信息类型(1-字符串,0-二进制)
		WCHAR szKey[1];//Unicode 字符串 KEY 域
	} *Head = (VersionInfo*)buf;
	int i;
	for(i=0; Head->szKey[i]; i++);
	i = (char*)(Head->szKey + i + 1) - buf;
	i = (i + 3) /4*4;
	WCHAR *Value = (WCHAR*)(buf + i);
	i += Head->wValueLength * (Head->wType ? 2 : 1);
	i = (i + 3) /4*4;

	//输出版本信息块
	CopyOut("\t", lay);
	if(Head->wValueLength == sizeof(VS_FIXEDFILEINFO)) ;
	else if(i < Head->wLength) Puts("BLOCK \"");
	else Puts("VALUE \"");
	WPuts(Head->szKey);
	if(Head->wType)
	{
		if(i < Head->wLength) Puts("\"\n");
		else if(!Head->wValueLength) Puts("\", \"\\0\"\n");
		else
		{
			Puts("\", \"");
			WPuts(Value, Head->wValueLength);
			Puts("\"\n");
		}
	}
	else if(Head->wValueLength == sizeof(VS_FIXEDFILEINFO))
	{
		Puts(" VERSIONINFO\n");
		VS_FIXEDFILEINFO *Info = (VS_FIXEDFILEINFO*)Value;
		Print(" FILEVERSION %d,%d,%d,%d\n",
			Info->dwFileVersionMS>>16, Info->dwFileVersionMS&0xFFFF,
			Info->dwFileVersionLS>>16, Info->dwFileVersionLS&0xFFFF);
		Print(" PRODUCTVERSION %d,%d,%d,%d\n",
			Info->dwProductVersionMS>>16, Info->dwProductVersionMS&0xFFFF,
			Info->dwProductVersionLS>>16, Info->dwProductVersionLS&0xFFFF);
		Print(" FILEFLAGSMASK 0x%xL\n",Info->dwFileFlagsMask);
		Print(" FILEFLAGS 0x%xL\n",Info->dwFileFlags);
		Print(" FILEOS 0x%xL\n",Info->dwFileOS);
		Print(" FILETYPE 0x%xL\n",Info->dwFileType);
		Print(" FILESUBTYPE 0x%xL\n",Info->dwFileSubtype);
	}
	else Print("\", %#x, %d\n",Value[0],Value[1]);

	//递归输出子信息块
	if(i < Head->wLength)
	{
		CopyOut("\t", lay++);
		Puts("BEGIN\n");
		while(i < Head->wLength)
		{
			i = GetVersion(buf + i, lay) - buf;
			i = (i + 3) /4*4;
		}
		CopyOut("\t", lay-1);
		Puts("END\n");
	}
	return buf + Head->wLength;
}

 

使用PE信息查看工具和Dependency Walker工具排查因为库版本不对导致程序启动报错的问题
dvlinker的技术专栏
12-23 1万+
本文详细讲述如何使用PE信息查看工具和Dependency Walker工具排查因为库版本不对导致程序启动报错问题。
WIN32汇编语言程序设计——查看PE资源列表
evagenius的博客
03-29 486
这么多种类型的不同ID的资源是用类似于磁盘目录结构的方式组织起来的。也就是按照根目录→资源类型→资源ID的3层树型目录结构来组织资源,只不过在第3层目录中放置的代码页“文件”不是资源本身而是一个用来描述资源结构罢了,通过这个结构中的指针才能最后找到资源数据。PE文件资源中的内容包括光标、图标、位图、菜单等十几种标准的类型,除此之外,还可以使用自定义的类型。每种类型的资源中可能存在多个资源项,这些资源项用不同的ID或者名称来分辨,在某个资源ID下,还可以同时存在不同代码页的版本。
PE文件解析-资源中的位图、图标与光标结构
zhyulo的博客
01-14 2351
一、概述     想要获取一个可执行文件(PE文件)里包含的资源文件,首先要解析可执行文件,得到资源存储的地址及大小,可参考 https://blog.csdn.net/zhyulo/article/details/85717711 。然后,根据资源存储方式,得到各资源的数据内容及其大小,可参考 https://blog.csdn.net/zhyulo/article/details/85930...
PE文件复看:打印PE信息
KKMI的博客
05-31 967
PE文件解析打印头部信息1.把文件读取到堆空间 1.把文件读取到堆空间 以后对PE文件进行频繁的操作总是绕不开第一步,就是把PE文件信息读取到自己申请的堆空间中,所以先实现这个函数,以便于以后频繁使用。 函数: ReadPEfile_TO_FileBuffer 功能说明: 把PE文件以二进制的读方式读取到FileBuffer堆空间 DWORD ReadPEfile_TO_FileBuffer(IN char* filepath, OUT void** FileBuffer) { //打开文件,读
PE文件二进制对比
最新发布
这是一个c++热爱者的博客哟
05-09 531
本文介绍了一个PE文件二进制对比工具的实现过程。该工具首先验证输入文件是否为有效的PE格式(通过检查DOS签名),然后比较两个PE文件的二进制内容。核心功能包括:文件打开与验证、大小获取、内存分配与读取、逐字节对比等。代码采用模块化设计,包含错误处理、资源释放和彩色控制台输出等功能。工具通过fgets安全获取用户输入,使用fread进行文件读取,并实现了跨平台的文件大小获取方法。对比结果会显示差异位置和数量,帮助用户快速识别PE文件间的二进制差异。
QT/VS环境添加自定义库dll或exe属性详细信息
weixin_43828438的博客
07-27 1240
QT/VS环境添加自定义库dll或exe属性详细信息QT环境添加详细信息VS环境添加详细信息 一般来说自定义生成的动态库dll或exe在WIndows属性下是看不到下图所示一些版本信息的 QT环境添加详细信息 1.新建.txt更改后缀为.rc 2.通过编辑器打开复制如下内容,并根据自身文件进行修改 #include <windows.h> VS_VERSION_INFO VERSIONINFO FILEVERSION 4,4,2,0 PRODUCTVERSION 4,4,2,0 FI
PE文件信息提取
weixin_52971884的博客
01-04 2743
** 该程序主要是对PE DOS头,PE头,PE可选头,区段,导出表,导入表,重定位表的一些信息的输出,如果对您有帮助请点一个赞,那方面写的不好的请直接评论批评,我一定会尽最大努力改正 ** #include<Windows.h> #include<stdio.h> #include<stdlib.h> #define IMAGE_SIZEOF_SHORT_NAME 8 //数据的FOA = 数据的ROA - 区段的RVA + 数据的FOA DWORD RvaToFoa(
PE文件结构简述
热门推荐
Shanfenglan's blog
08-03 35万+
简述: PE文件结构分为五个部分: DOS文件头 DOS加载模块 PE文件头 区段表 区段 PE文件中显示的所有地址基本都是RVA,倘若想要换算成VA一般需要加上基地址ImageBase与文件偏移地址RVA。 虚拟地址(VA=virtual address):每个32位PE文件被加载到内存的时候都会被分配4GB的虚拟内存,虚拟地址等于“程序的相对虚拟地址+基地址”。 相对虚拟地址(RVA=relatively virtual address):相对虚拟地址是相比较于文件开头的地
PE文件结构详解
神棍之路
07-20 1万+
Windows程序的各种界面称为资源,包括加速键(Accelerator)、位图(Bitmap)、光标(Cursor)、对话框(DialogBox)、图标(Icon)、菜单(Menu)、串表(StringTable)、工具栏(Toolbar)和版本信息(VersionInformation)等。执行PE文件前,加载程序在进行重定位的时候,会用PE文件在内存中的实际映像地址减PE文件所要求的映像地址,根据重定位类型的不同将差值添加到相应的地址数据中。...
PE文件结构详解精华(从头看下去就能大概了解PE文件结构了)
雨化于画
02-13 1万+
前言 此博客绝大部分内容来自云课堂武大慕课《软件安全-恶意代码机理与防护》。 内容提纲 PE文件及其表现形式 PE文件格式与恶意软件的关系 PE文件格式总体结构 代码节与数据节 引入函数节:PE文件的引入函数机制 引出函数节:DLL文件的函数引出机制 资源节:文件资源索引、定位与修改 重定位节:镜像地址改变后的地址自动修正 PE文件及其表现形式 可移植的可执行文件PE,Portable...
PE文件解析-资源中的字符串结构
zhyulo的博客
02-27 1523
一、概述     想要获取一个可执行文件(PE文件)里包含的资源文件,首先要解析可执行文件,得到资源存储的地址及大小,可参考 https://blog.csdn.net/zhyulo/article/details/85717711 。然后,根据资源存储方式,得到各资源的数据内容及其大小,可参考 https://blog.csdn.net/zhyulo/article/details/85930...
PE文件结构解析
城南以南花亦开
09-02 1万+
PE(Portable Executable)文件,即可移植的可执行文件,是 Windows 操作系统上主流的可执行文件
C++ 获取 PE 文件的各种信息
LYSM
08-05 2599
首先感谢 cyxvc 老哥,他的代码可读性超高,精简有用以理解,我找这方面的资料好久了,这篇文章对我帮助很大。 参考代码: #include "stdafx.h" #include <Windows.h> extern void DirectoryString(DWORD dwIndex); int _tmain(int argc, _TCHAR* argv[]) { //获...
exeinfo pe的使用(基本)
ftxyz23的博客
09-20 1万+
在该文章中所涉及的知识主要是pe文件格式的相关知识,使用文字进行原理说明会相对冗余。使用工具进行初步的静态分析实践起来,后续可以对照PE格式进行分析。
c语言读取exe的pe标记,PE文件信息读取程序(1.关键函数部分)
weixin_39662142的博客
05-21 689
#include "stdafx.h"#include "PEFuncs.h"#include //需要引入如下.lib文件//#pragma comment (lib, "imagehlp.lib")//或者在Project->XXXXproperties->Linker->AdditionalDependencies中添加.lib文件,为VS2008的方式。BOOL Load...
c语言读取pe文件信息,C语言怎么获得进程的PE文件信息
weixin_42393315的博客
05-22 286
一、打印Sections信息。下面的程序打印出Windows_Graphics_Programming 1.1中第三个程序“Hello World Version 3:Create a Full-Screen Window"生成的可执行文件的Sections结构字节的信息#include#includechar *strPath="C:/c1_hwv3/Debug/c1_hwv3.exe";int...
PE文件结构详解 --(完整版)
freeking101的博客
11-02 4万+
From:https://blog.csdn.net/adam001521/article/details/84658708 PE结构详解:https://www.cnblogs.com/zheh/p/4008268.html PE格式解析-区段表及导入表结构详解:https://blog.csdn.net/qq_30145355/article/details/78859214 PE...
C++外部程序修改exe文件属性信息版本信息
func7的专栏
01-21 1万+
Windows平台可执行文件(exe文件)属性中会有版本信息,包含文件说明、文件版本、版权等信息。但如何通过外部程序修改这些信息呢?当然通过一些第三方工具已经实现了这些功能,但这不是本文讨论的主题,本文是将设置版本信息的方法公开化。
PE文件解析-资源中的菜单结构
zhyulo的博客
01-31 761
一、概述     想要获取一个可执行文件(PE文件)里包含的资源文件,首先要解析可执行文件,得到资源存储的地址及大小,可参考 https://blog.csdn.net/zhyulo/article/details/85717711 。然后,根据资源存储方式,得到各资源的数据内容及其大小,可参考 https://blog.csdn.net/zhyulo/article/details/85930...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值