前言:没什么好说的,发现这方面的资料全是英文的,于是我一边研究,一边翻译,一边写出自己的心得。
资源一般使用树来保存,通常包含3层,在NT下,最高层是类型,然后是名字,最后是语言。一个PE文件是否包含资源文件,通常检测块表(Section Table)中是否含有'.rsrc',不过这个方法对有些PE文件无效。
一个类型表结构如下 ————————————— | RESOURCE DIRECTORY | ————————————— | RESOURCE DATA | ————————————— 资源表1(Resource File Layout)
其中的资源目录(RESOURCE DIRECTORY)结构如下:
—————————————————————————— | RESOURCE FLAGS | —————————————————————————— | TIME/DATE STAMP | —————————————————————————— | MAJOR VERSION | MINOR VERSION | —————————————————————————— | # NAME ENTRY | # ID ENTRY | —————————————————————————— | RESOURCE DIR ENTRIES | —————————————————————————— 资源表2(Resource Table Entry)
在DELPHI中的申明 { Resources } PIMAGE_RESOURCE_DIRECTORY = ^IMAGE_RESOURCE_DIRECTORY; IMAGE_RESOURCE_DIRECTORY = packed record Characteristics : DWORD; TimeDateStamp : DWORD; MajorVersion : WORD; MinorVersion : WORD; NumberOfNamedEntries : WORD; NumberOfIdEntries : WORD; end
其中:
RESOURCE FLAGS 通常设置为0
TIME/DATE STAMP 资源编译器建立此资源的时间/日期,可能为0
MAJOR/MINOR VERSION 版本信息
# NAME ENTRY 使用名字的资源条目的个数,包含一个使用名字的目录条目的数组。 # ID ENTRY 使用ID数字的资源条目的个数,包含一个32位的整数ID号,同用名字一样。 这个目录紧接着会是一个不定长度的目录条目,不管用的名字还是ID,都是用升序排列。
这个不定长度的目录结构如下:
31 0 —————————————————————— | NAME RVA/INTEGER ID | —————————————————————— | E | DATA ENTRY RVA/SUBDIR RVA | ——————————————————————
资源表3(Resource Directory Entry)
在DELPHI中的申明: PIMAGE_RESOURCE_DIRECTORY_ENTRY = ^IMAGE_RESOURCE_DIRECTORY_ENTRY; IMAGE_RESOURCE_DIRECTORY_ENTRY = packed record Name: DWORD; // Or ID: Word (Union) OffsetToData: DWORD;
INTEGER ID 包含一个识别资源的整数ID 如果在根目录,这个ID表示的意义如下 资源类型 1: cursor 2: bitmap 3: icon 4: menu 5: dialog 6: string table 7: font directory 8: font 9: accelerators 10: unformatted resource data 11: message table 12: group cursor 14: group icon 16: version information
NAME RVA 名字的相对实际地址,包含一个31位的相对资源的Image Base的地址。表的形式见表4
E 一位的不可缺少的识别码(mask 80000000h) 如果这位为0,则为Resource Data Entries,其中DATA RVA = 31位的(mask 7fffffffh) 数据条目的地址。结构见表5 如果这位为1,则表示接另一个子目录(Subdirectory Entry)。
{ 此函数检验 offset 是一个字符串名还是一个目录 } { IMAGE_RESOURCE_NAME_IS_STRING = IMAGE_RESOURCE_DATA_IS_DIRECTORY = $80000000 } function HighBitSet(L: Longint): Boolean; begin Result := (L and IMAGE_RESOURCE_DATA_IS_DIRECTORY) <> 0; end;
{ 下面两个函数用于去掉E位剩下的值或者指针 } {IMAGE_OFFSET_STRIP_HIGH = $7FFFFFFF;} function StripHighBit(L: Longint): Longint; begin Result := L and IMAGE_OFFSET_STRIP_HIGH; end;
function StripHighPtr(L: Longint): Pointer; begin Result := Pointer(L and IMAGE_OFFSET_STRIP_HIGH); end;
每一个资源目录名为如下格式 —————————————————————— | LENGTH | UNICODE STRING | —————————————————————— | LENGTH | UNICODE STRING | —————————————————————— 资源表4(Resource Directory String Entry)
在DELPHI中的申明 PIMAGE_RESOURCE_DIR_STRING_U = ^IMAGE_RESOURCE_DIR_STRING_U; IMAGE_RESOURCE_DIR_STRING_U = packed record Length : WORD; NameString : array [0..0] of WCHAR; end;
LENGTH 就是字符串的长度 UNICODE STRING Unicode的字符串.
资源数据表结构: ————————————— | DATA RVA | ————————————— | SIZE | ————————————— | CODEPAGE | ————————————— | RESERVED | ————————————— 表5(Resource Data Entry)
在DELPHI中的申明 PIMAGE_RESOURCE_DATA_ENTRY = ^IMAGE_RESOURCE_DATA_ENTRY; IMAGE_RESOURCE_DATA_ENTRY = packed record OffsetToData : DWORD; Size : DWORD; CodePage : DWORD; Reserved : DWORD; end;
DATA RVA 资源的相对实际地址,包含一个32位相对于资源Image Base的地址。 SIZE 资源的大小。 CODEPAGE 没什么说的,好像为译码方面设置的。 RESERVED 一定为0
好了,差不多资源这部分分析玩了,其它部分我还在研究:)
2001年西安
