PE文件学习(三)数据目录表之资源

     资源是PE文件中最复杂的结构了,资源在PE文件中是以目录结构的形式存在的,一般情况下分为3层,从根目录开始分别是资源类型、目录资源ID与资源代码页。

     3层目录结构都是由一个IMAGE_RESOURCE_DIRECTORY结构为头部,后面跟着一个IMAGE_RESOURCE_DIRECTORY_ENTRY结构数组。

      结构体IMAGE_RESOURCE_DIRECTORY_ENTRY如下所示:

typedef  struct  _IMAGE_RESOURCE_DIRECTORY{
DWORD  Characteristics;    //资源属性标识
DWORD  TimeDateStamp;  //资源建立的时间
WORD    MajorVersion;      //资源主版本
WORD    MinorVersion;       //资源子版本
WORD    NumberOfNamedEntries;  //资源名称条目个数
WORD    NumberOfIdEntries;   //资源ID条目个数
} IMAGE_RESOURCE_DIRECTORY, *PIMAGE_RESOURCE_DIRECTORY;

  结构体IMAGE_RESOURCE_DIRECTORY_ENTRY:

typedef struct _IMAGE_RESOURCE_DIRECTORY_ENTRY
{
	union 
	{
		struct 
		{
        DWORD NameOffset:31;    //资源名偏移
		DWORD NameIsString:1;   //资源名为字符串
		};	
        DWORD Name;        //资源/语言类型
	WORD Id;           //资源数字ID
	};
	union{
		DWORD OffsetToData;     //数据偏移地址
		struct 
		{
			DWORD OffsetToDirectory:31;   //子目录偏移地址
			DWORD DataIsDirectory:1;      //数据为目录
		};
	};
}IMAGE_RESOURCE_DIRECTORY_ENTRY,*PIMAGE_RESOURCE_DIRECTORY_ENTRY;
   其中的Name成员当此结构体位于第一层目录中时,此字段保存有资源类型的值。当此结构体位于第三层目录中时,此字段保存有资源语言区域的类型值

    PE文件学习(三)数据目录表之资源_第1张图片

  OffsetToDirectory和DataIsDirectory:当DataIsDirectory为1时,OffsetToDirectory的值指向下一层子目录的偏移。

   这个IMAGE_RESOURCE_DIRECTORY_ENTRY是由两个大小为4字节的联合体组成的,在不同情况下,两个联合体中的有效字段也不同。

        第一个联合体内的字段是根据当前结构体所处的目录层次来决定的,位于第一层目录时字段Name有效,保存的信息是资源类型;位于第二层目录时字段Id或结构体有效,这取决于此资源的索引方式,如果采用的是编号索引就是字段Id有效,否则结构体有效;位于第三层目录时字段Name有效,保存的信息是资源语言区域类型。
第二个联合体内的字段理论上是根据具体情况而定的,如果下一级是一个子目录的话,那么就是结构体生效,如果下一级是资源数据则是字段OffsetToData生效。

   在经过三层目录的索引后,最后会到达一个IMAGE_RESOURCE_DATA_ENTRY结构中,这个结构将指引我们找到资源数据。下面这个结构体描述的就是此结构。

typedef struct _IMAGE_RESOURCE_DATA_ENTRY
{
	DWORD OffsetToData;   //资源数据的RAV
	DWORD Size  ;         //资源数据的长度
	DWORD CodePage;       //代码页
	DWORD Reserved;       //保留字段
}IMAGE_RESOURCE_DATA_ENTRY,*PIMAGE_RESOURCE_DATA_ENTRY;

   

你可能感兴趣的:(PE文件,PE文件,数据目录表,资源)