资源 Table 的 ResourceEntries RVA 在将其复制到不同的 image/PE 时需要重定位?
ResourceEntries RVAs of a Resource Table need relocation upon copying it to a different image/PE?
我已经成功构建了一个基本的 JAVA 反汇编器,仅仅是因为已经构建的开源反汇编器(pecoff4j 及其分支)尽管非常出色但没有帮助。
我已经设法 解析了所有 PE header,将其与 Lord PE 和 PE Explorer 进行了比较,一切似乎都已到位,至少对于 x86 executable秒。
我这样做是出于某种原因。我想将PE 的资源目录复制到另一个PE。我(尝试)通过首先解析 header 中的所有内容来做到这一点,直到我的所有变量都被填充。我以LORD PE executable为例。下面是第三个目录条目,也就是资源目录。
ResourceDirectorySize: 0x16E50, ResourceDirectoryVirtualAddress: 0x1F000
我牢记这些值,然后继续 header 解析部分。
第一部分是这样的:
Name: .text
VirtualSize: 0x000172D0
Virtualaddress: 0x00001000
SizeOfRawData: 0x00017400
PointedToRawData: 0x00000400
...
最终找到我需要的那个:
Name: .rsrc
VirtualSize: 0x00016E50
Virtualaddress: 0x0001F000
SizeOfRawData: 0x00017000
PointedToRawData: 0x0001C000
由于VirtualSize 和VirtualAddress 与我上面提到的相同,因此我确定这是资源table。所以我盲目地将范围0x1C000 to 0x33000复制到另一个executable,同时更新PE的ResourceDirectorySize和VirtualAddress header.
我还更新了其他几项内容,例如图像大小、初始化数据、部分数量以反映新的 executable 状态。
我的问题:是否需要重新定位 ResourceEntries 以反映 ResourceDirectory 的新虚拟地址?
包含内部 PIMAGE_RESOURCE_DATA_ENTRY 结构的资源目录:
typedef struct _IMAGE_RESOURCE_DATA_ENTRY {
DWORD OffsetToData;
DWORD Size;
DWORD CodePage;
DWORD Reserved;
} IMAGE_RESOURCE_DATA_ENTRY, *PIMAGE_RESOURCE_DATA_ENTRY;
OffsetToData 成员实际上是 RVA - 因此相对于图像基址的偏移量(当文件映射为图像时)。如果您将资源目录复制到新图像 - 您需要修复所有 IMAGE_RESOURCE_DATA_ENTRY 中的 OffsetToData 字段。所以资源目录必须重定位到新的RVA.
让我们有:
oldRVA - rva 其中 rsrc 放置在当前图像中。newRVA - rva 其中 rsrc 将放置在新图像中。
所以我们需要修复 OffsetToData = newRVA + (OffsetToData - oldRVA) 或
DWORD Diff = newRVA - oldRVA; // calc once
OffsetToData += Diff;
所以复制rsrc的代码可以是下一个
void RelocateRSRC(PBYTE prsrc, PIMAGE_RESOURCE_DIRECTORY pird, LONG Delta)
{
if (DWORD NumberOfEntries = pird->NumberOfNamedEntries + pird->NumberOfIdEntries)
{
PIMAGE_RESOURCE_DIRECTORY_ENTRY pirde = (PIMAGE_RESOURCE_DIRECTORY_ENTRY)(pird + 1);
do
{
if (pirde->DataIsDirectory)
{
RelocateRSRC(prsrc,
(PIMAGE_RESOURCE_DIRECTORY)(prsrc + pirde->OffsetToDirectory),
Delta);
}
else
{
PIMAGE_RESOURCE_DATA_ENTRY data =
(PIMAGE_RESOURCE_DATA_ENTRY)(prsrc + pirde->OffsetToData);
data->OffsetToData += Delta;
}
} while (pirde++, --NumberOfEntries);
}
}
BOOL CopyRSRC(PVOID ImageBase, BOOLEAN MappedAsImage, ULONG NewRva, void** pprsrc)
{
*pprsrc = 0;
ULONG Size;
if (PIMAGE_RESOURCE_DIRECTORY pird = (PIMAGE_RESOURCE_DIRECTORY)
RtlImageDirectoryEntryToData(ImageBase, TRUE, IMAGE_DIRECTORY_ENTRY_RESOURCE, &Size))
{
NewRva -= RtlPointerToOffset(ImageBase, pird);
if (!MappedAsImage)
{
pird = (PIMAGE_RESOURCE_DIRECTORY)
RtlImageDirectoryEntryToData(ImageBase, FALSE, IMAGE_DIRECTORY_ENTRY_RESOURCE, &Size);
}
if (PBYTE prsrc = new BYTE[Size])
{
*pprsrc = prsrc;
memcpy(prsrc, pird, Size);
RelocateRSRC(prsrc, (PIMAGE_RESOURCE_DIRECTORY)prsrc, NewRva);
return TRUE;
}
return FALSE;
}
return TRUE;
}
我已经成功构建了一个基本的 JAVA 反汇编器,仅仅是因为已经构建的开源反汇编器(pecoff4j 及其分支)尽管非常出色但没有帮助。 我已经设法 解析了所有 PE header,将其与 Lord PE 和 PE Explorer 进行了比较,一切似乎都已到位,至少对于 x86 executable秒。 我这样做是出于某种原因。我想将PE 的资源目录复制到另一个PE。我(尝试)通过首先解析 header 中的所有内容来做到这一点,直到我的所有变量都被填充。我以LORD PE executable为例。下面是第三个目录条目,也就是资源目录。
ResourceDirectorySize: 0x16E50, ResourceDirectoryVirtualAddress: 0x1F000
我牢记这些值,然后继续 header 解析部分。 第一部分是这样的:
Name: .text
VirtualSize: 0x000172D0
Virtualaddress: 0x00001000
SizeOfRawData: 0x00017400
PointedToRawData: 0x00000400
... 最终找到我需要的那个:
Name: .rsrc
VirtualSize: 0x00016E50
Virtualaddress: 0x0001F000
SizeOfRawData: 0x00017000
PointedToRawData: 0x0001C000
由于VirtualSize 和VirtualAddress 与我上面提到的相同,因此我确定这是资源table。所以我盲目地将范围0x1C000 to 0x33000复制到另一个executable,同时更新PE的ResourceDirectorySize和VirtualAddress header.
我还更新了其他几项内容,例如图像大小、初始化数据、部分数量以反映新的 executable 状态。
我的问题:是否需要重新定位 ResourceEntries 以反映 ResourceDirectory 的新虚拟地址?
包含内部 PIMAGE_RESOURCE_DATA_ENTRY 结构的资源目录:
typedef struct _IMAGE_RESOURCE_DATA_ENTRY {
DWORD OffsetToData;
DWORD Size;
DWORD CodePage;
DWORD Reserved;
} IMAGE_RESOURCE_DATA_ENTRY, *PIMAGE_RESOURCE_DATA_ENTRY;
OffsetToData 成员实际上是 RVA - 因此相对于图像基址的偏移量(当文件映射为图像时)。如果您将资源目录复制到新图像 - 您需要修复所有 IMAGE_RESOURCE_DATA_ENTRY 中的 OffsetToData 字段。所以资源目录必须重定位到新的RVA.
让我们有:
oldRVA- rva 其中 rsrc 放置在当前图像中。newRVA- rva 其中 rsrc 将放置在新图像中。
所以我们需要修复 OffsetToData = newRVA + (OffsetToData - oldRVA) 或
DWORD Diff = newRVA - oldRVA; // calc once
OffsetToData += Diff;
所以复制rsrc的代码可以是下一个
void RelocateRSRC(PBYTE prsrc, PIMAGE_RESOURCE_DIRECTORY pird, LONG Delta)
{
if (DWORD NumberOfEntries = pird->NumberOfNamedEntries + pird->NumberOfIdEntries)
{
PIMAGE_RESOURCE_DIRECTORY_ENTRY pirde = (PIMAGE_RESOURCE_DIRECTORY_ENTRY)(pird + 1);
do
{
if (pirde->DataIsDirectory)
{
RelocateRSRC(prsrc,
(PIMAGE_RESOURCE_DIRECTORY)(prsrc + pirde->OffsetToDirectory),
Delta);
}
else
{
PIMAGE_RESOURCE_DATA_ENTRY data =
(PIMAGE_RESOURCE_DATA_ENTRY)(prsrc + pirde->OffsetToData);
data->OffsetToData += Delta;
}
} while (pirde++, --NumberOfEntries);
}
}
BOOL CopyRSRC(PVOID ImageBase, BOOLEAN MappedAsImage, ULONG NewRva, void** pprsrc)
{
*pprsrc = 0;
ULONG Size;
if (PIMAGE_RESOURCE_DIRECTORY pird = (PIMAGE_RESOURCE_DIRECTORY)
RtlImageDirectoryEntryToData(ImageBase, TRUE, IMAGE_DIRECTORY_ENTRY_RESOURCE, &Size))
{
NewRva -= RtlPointerToOffset(ImageBase, pird);
if (!MappedAsImage)
{
pird = (PIMAGE_RESOURCE_DIRECTORY)
RtlImageDirectoryEntryToData(ImageBase, FALSE, IMAGE_DIRECTORY_ENTRY_RESOURCE, &Size);
}
if (PBYTE prsrc = new BYTE[Size])
{
*pprsrc = prsrc;
memcpy(prsrc, pird, Size);
RelocateRSRC(prsrc, (PIMAGE_RESOURCE_DIRECTORY)prsrc, NewRva);
return TRUE;
}
return FALSE;
}
return TRUE;
}