PE文件格式詳解(5)

2019-11-17 05:04:21

字體：大中小

來源：轉載

供稿：網友

預定義段　　一個Windows NT的應用程序典型地擁有9個預定義段，它們是.text、.bss、.rdata、.data、.rsrc、.edata、.idata、.pdata和.debug。一些應用程序不需要所有的這些段，同樣還有一些應用程序為了自己非凡的需要而定義了更多的段。

這種做法與MS-DOS和Windows 3.1中的代碼段和數據段相似。事實上，應用程序定義一個獨特的段的方法是使用標準編譯器來指示對代碼段和數據段的命名，或者使用名稱段編譯器選項-NT——就和Windows 3.1中應用程序定義獨特的代碼段和數據段一樣。

　　以下是一個關于Windows NT PE文件之中一些有趣的公共段的討論。 可執行代碼段，.text　　Windows 3.1和Windows NT之間的一個區別就是Windows NT默認的做法是將所有的代碼段（正如它們在Windows 3.1中所提到的那樣）組成了一個單獨的段，名為“.text”。既然Windows NT使用了基于頁面的虛擬內存治理系統，那么將分開的代碼放入不同的段之中的做法就不太明智了。因此，擁有一個大的代碼段對于操作系統和應用程序開發者來說，都是十分方便的。

　　.text段也包含了早先提到過的入口點。IAT亦存在于.text段之中的模塊入口點之前。（IAT在.text段之中的存在非常有意義，因為這個表事實上是一系列的跳轉指令，并且它們的跳轉目標位置是已固定的地址。）當Windows NT的可執行映像裝載入進程的地址空間時，IAT就和每一個導入函數的物理地址一同確定了。要在.text段之中查找IAT，裝載器只用將模塊的入口點定位，而IAT恰恰出現于入口點之前。既然每個入口擁有相同的尺寸，那么向后退查找這個表的起始位置就很輕易了。 數據段，.bss、.rdata、.data　　.bss段表示應用程序的未初始化數據，包括所有函數或源模塊中聲明為static的變量。

　　.rdata段表示只讀的數據，比如字符串文字量、常量和調試目錄信息。

　　所有其它變量（除了出現在棧上的自動變量）存儲在.data段之中。基本上，這些是應用程序或模塊的全局變量。 資源段，.rsrc　　.rsrc段包含了模塊的資源信息。它起始于一個資源目錄結構，這個結構就像其它大多數結構一樣，但是它的數據被更進一步地組織在了一棵資源樹之中。以下的IMAGE_RESOURCE_DirectorY結構形成了這棵樹的根和各個結點。

WINNT.H
typedef strUCt _IMAGE_RESOURCE_DIRECTORY {
ULONG Characteristics;
ULONG TimeDateStamp;
USHORT MajorVersion;
USHORT MinorVersion;

USHORT NumberOfNamedEntries;
USHORT NumberOfIdEntries;
} IMAGE_RESOURCE_DIRECTORY, *PIMAGE_RESOURCE_DIRECTORY;

　　請看這個目錄結構，你將會發現其中竟然沒有指向下一個結點的指針。但是，在這個結構中有兩個域NumberOfNamedEntries和NumberOfIdEntries代替了指針，它們被用來表示這個目錄附有多少入口。附帶說一句，我的意思是目錄入口就在段數據之中的目錄后邊。有名稱的入口按字母升序出現，再往后是按數值升序排列的ID入口。

　　一個目錄入口由兩個域組成，正如下面IMAGE_RESOURCE_DIRECTORY_ENTRY結構所描述的那樣：
WINNT.H
typedef struct _IMAGE_RESOURCE_DIRECTORY_ENTRY {
ULONG Name;
ULONG OffsetToData;
} IMAGE_RESOURCE_DIRECTORY_ENTRY, *PIMAGE_RESOURCE_DIRECTORY_ENTRY;

　　根據樹的層級不同，這兩個域也就有著不同的用途。Name域被用于標識一個資源種類，或者一種資源名稱，或者一個資源的語言ID。OffsetToData與經常被用來在樹之中指向兄弟結點——即一個目錄結點或一個葉子結點。

　　葉子結點是資源樹之中最底層的結點，它們定義了當前資源數據的尺寸和位置。IMAGE_RESOURCE_DATA_ENTRY結構被用于描述每個葉子結點：

WINNT.H
typedef struct _IMAGE_RESOURCE_DATA_ENTRY {
ULONG OffsetToData;
ULONG Size;
ULONG CodePage;
ULONG Reserved;
} IMAGE_RESOURCE_DATA_ENTRY, *PIMAGE_RESOURCE_DATA_ENTRY;

　　OffsetToData和Size這兩個域表示了當前資源數據的位置和尺寸。既然這一信息主要是在應用程序裝載以后由函數使用的，那么將OffsetToData作為一個相對虛擬的地址會更有意義一些?！疑酰『檬沁@樣沒錯。

非常有趣的是，所有其它的偏移量，比如從目錄入口到其它目錄的指針，都是相對于根結點位置的偏移量。

　　要更清楚地了解這些內容，請參考圖2。 圖2.一個簡單的資源樹結構

　　圖2描述了一個非常簡單的資源樹，它包含了僅僅兩個資源對象：一個菜單和一個字串表。更深一層地來說，它們各自都有一個子項。然而，你仍然可以看到資源樹有多么復雜——即使它像這個一樣只有一點點資源。

　　在樹的根部，第一個目錄有一個文件中包含的所有資源種類的入口，而不管資源種類有多少。在圖2中，有兩個由樹根標識的入口，一個是菜單的，另一個是字串表的。假如文件中擁有一個或多個對話框資源，那么根結點會再擁有一個入口，因此，就有了對話框資源的另一個分支。

　　WINUSER.H中標識了基本的資源種類，我將它們列到了下面：

WINUSER.H
/*
* 預定義的資源種類
*/
#define RT_CURSOR MAKEINTRESOURCE(1)
#define RT_BITMAP MAKEINTRESOURCE(2)
#define RT_ICON MAKEINTRESOURCE(3)
#define RT_MENU MAKEINTRESOURCE(4)
#define RT_DIALOG MAKEINTRESOURCE(5)
#define RT_STRING MAKEINTRESOURCE(6)
#define RT_FONTDIR MAKEINTRESOURCE(7)
#define RT_FONT MAKEINTRESOURCE(8)
#define RT_ACCELERATOR MAKEINTRESOURCE(9)
#define RT_RCDATA MAKEINTRESOURCE(10)
#define RT_MESSAGETABLE MAKEINTRESOURCE(11)

　　在樹的第一層級，以上列出的MAKEINTRESOURCE值被放置在每個種類入口的Name處，它標識了不同的資源種類。

　　每個根目錄的入口都指向了樹中第二層級的一個兄弟結點，這些結點也是目錄，并且每個都擁有它們自己的入口。在這一層級，目錄被用來以給定的種類標識每一個資源種類。假如你的應用程序中有多個菜單，那么樹中的第二層級會為每個菜單都預備一個入口。

　　你可能意識到了，資源可以由名稱或整數標識。在這一層級，它們是通過目錄結構的Name域來分辨的。假如假如Name域最重要的位被設置了，那么其它的31個位就會被用作一個到IMAGE_RESOURCE_DIR_STRING_U結構的偏移量。

WINNT.H
typedef struct _IMAGE_RESOURCE_DIR_STRING_U {
USHORT Length;
WCHAR NameString[1];
} IMAGE_RESOURCE_DIR_STRING_U, *PIMAGE_RESOURCE_DIR_STRING_U;

　　這個結構僅僅是由一個2字節長的Length域和一個UNICODE字符Length組成的。
　　另一方面，假如Name域最重要的位被清空，那么它的低31位就被用于表示資源的整數ID。圖2示范的就是菜單資源作為一個命名的資源，以及字串表作為一個ID資源。

　　假如有兩個菜單資源，一個由名稱標識，另一個由資源標識，那么它們二者就會在菜單資源目錄之后擁有兩個入口。有名稱的資源入口在第一位，之后是由整數標識的資源。目錄域NumberOfNamedEntries和NumberOfIdEntries將各自包含值1，表示當前的1個入口。

　　在第二層級的下面，資源樹就不再更深一步地擴展分支了。第一層級分支至表示每個資源種類的目錄中，第二層級分支至由標識符表示的每個資源的目錄中，第三層級是被個別標識的資源與它們各自的語言ID之間一對一的映射。要表示一個資源的語言ID，目錄入口結構的Name域就被用來表示資源的主語言ID和子語言ID了。Windows NT的Win32 SDK開發包中列出了默認的值資源，例如對于0x0409這個值來說，0x09表示主語言LANG_ENGLISH，0x04則被定義為子語言的SUBLANG_ENGLISH_CAN。所有的語言ID值都定義于Windows NT Win32 SDK開發包的文件WINNT.H中。

　　既然語言ID結點是樹中最后的目錄結點，那么入口結構的OffsetToData域就是到一個葉子結點（即前面提到過的IMAGE_RESOURCE_DATA_ENTRY結構）的偏移量。

　　再回過頭來參考圖2，你會發現每個語言目錄入口都對應著一個數據入口。這個結點僅僅表示了資源數據的尺寸以及資源數據的相對虛擬地址。

　　在資源數據段（.rsrc）之中擁有這么多結構有一個好處，就是你可以不存取資源本身而直接可以從這個段收集很多信息。例如，你可以獲得有多少種資源、哪些資源（假如有的話）使用了非凡的語言ID、特定的資源是否存在以及單獨種類資源的尺寸。

為了示范如何利用這一信息，以下的函數說明了如何決定一個文件中包含的不同種類的資源：

PEFILE.C
int WINAPI GetListOfResourceTypes(LPVOID lpFile, HANDLE hHeap,
    char **pszResTypes)
{
PIMAGE_RESOURCE_DIRECTORY PRdRoot;
PIMAGE_RESOURCE_DIRECTORY_ENTRY prde;
char *pMem;
int nCnt, i;
/* 獲得資源樹的根目錄 */
if ((prdRoot = (PIMAGE_RESOURCE_DIRECTORY)   ImageDirectoryOffset
      lpFile, IMAGE_DIRECTORY_ENTRY_RESOURCE)) == NULL)
    return 0;
/* 在堆上分配足夠的空間來包括所有類型 */
nCnt = prdRoot->NumberOfIdEntries * (MAXRESOURCENAME + 1);
*pszResTypes = (char *)HeapAlloc(hHeap, HEAP_ZERO_MEMORY,
      nCnt);
if ((pMem = *pszResTypes) == NULL)
    return 0;
/* 將指針指向第一個資源種類的入口 */
prde = (PIMAGE_RESOURCE_DIRECTORY_ENTRY)((DWord)prdRoot +
      sizeof (IMAGE_RESOURCE_DIRECTORY));
/* 在所有的資源目錄入口類型中循環 */
for (i = 0; i < prdRoot->NumberOfIdEntries; i++)
{
    if (LoadString(hDll, prde->Name, pMem, MAXRESOURCENAME))
      pMem += strlen(pMem) + 1;
    prde++;
}
return nCnt;
}

　　這個函數將一個資源種類名稱的列表寫入了由pszResTypes標識的變量中。
請注重，在這個函數的核心部分，LoadString是使用各自資源種類目錄入口的Name域來作為字符串ID的。假如你查看PEFILE.RC，你會發現我定義了一系列的資源種類的字符串，并且它們的ID與它們在目錄入口中的定義完全相同。PEFILE.DLL還有有一個函數，它返回了.rsrc段中的資源對象總數。這樣一來，從這個段中提取其它的信息，借助這些函數或另外編寫函數就方便多了。（未完待續）

上一篇：C++基礎:函數指針調用方式

下一篇：開發精彩實例：窗體自動隱藏