PE之代码解析资源表
1)资源表
资源表(ResourceTable)是PE(PortableExecutable)文件格式中用于存储程序运行所需各类资源的核心结构比如图标,字符串,对话框,位图,菜单,版本信息等。这些资源以树形结构组织,是PE文件可选头(OptionalHeader)中数据目录表(DataDirectory)的第2项(IMAGE_DIRECTORY_ENTRY_RESOURCE)指向的区域,是逆向分析,资源提取/替换的关键目标。
咱们来看下逆向破解中的典型场景:
在逆向破解中,资源表是高频操作的对象,典型场景包括
资源提取:从PE文件中提取图标,界面文字,版本信息等,用于仿造或分析程序功能;
资源修改:替换程序的图标,修改弹窗提示字符串(如破解软件的未注册提示),篡改版本信息;
资源修复:修复被加壳/加密破坏的资源表,恢复程序正常显示界面;
资源隐藏/检测:恶意程序可能将核心代码/配置隐藏在资源表中,逆向者需定位并解析这类隐藏资源。
2)解析资源表
解析资源表的核心是逐层遍历其树形结构,并通过RVA(相对虚拟地址)与文件偏移的转换找到资源在磁盘文件中的实际位置,具体步骤和关键逻辑如下:
核心结构与遍历逻辑
PE资源表采用三层树形结构组织,从根节点到具体资源依次为:
第一层(Type目录):定义资源类型(如图标,字符串,对话框等)
第二层(Name/ID目录):同一类型下的具体资源项(如不同ID的图标)
第三层(Language目录):同一资源项的不同语言版本(如中文/英文字符串)
资源数据入口(ResourceDataEntry):指向实际资源数据的RVA和大小,三层目录遍历:必须严格按类型→名称/ID→语言的顺序遍历,才能定位到具体的资源数据入口。
3)程序开发流程
前期基本流程和导入表基本大差不差哦
1.文件读取:首先把要分析的EXE或DLL文件以二进制方式打开,将文件里所有内容读到内存里的一个临时区域(咱们叫它buf)。
2.定位DOS头:接着把这个buf转换成能识别PE文件开头DOS头的格式(PIMAGE_DOS_HEADER),校验DOS头的e_magic字段是否为IMAGE_DOS_SIGNATURE(0x5A4D,即"MZ"),确认是有效PE文件。
3.定位NT头:找到DOS头里的e_lfanew这个关键值,用它加上buf的起始位置定位到PE文件的核心NT头(PIMAGE_NT_HEADERS32/PIMAGE_NT_HEADERS64),校验NT头的Signature字段是否为IMAGE_NT_SIGNATURE(0x000045
