我正在编写一个自定义模块来检查EXE文件的一致性(这不是这个问题的一部分。)为此,我需要知道EXE文件中某个资源的偏移量来计算EXE的大小我需要检查的文件正文。
我想出了以下代码来获取IDR_HTML_DLG文件中strExeFilePath资源的偏移量:
int ncbOffsetInBytes = 0;
HMODULE hModule = LoadLibrary(strExeFilePath);
if(hModule)
{
HRSRC hRes = ::FindResource(hModule, MAKEINTRESOURCE(IDR_HTML_DLG), RT_HTML);
if(hRes)
{
long szLength = ::SizeofResource(hModule, hRes);
HGLOBAL hGlobal = ::LoadResource(hModule, hRes);
if(szLength && hGlobal)
{
BYTE* pData = (BYTE*)LockResource(hGlobal);
DWORD dwLast = (DWORD)(pData + szLength);
DWORD dwFirst = (DWORD)hModule;
ncbOffsetInBytes = dwLast - dwFirst;
}
}
::FreeLibrary(hModule);
hModule = NULL;
}
但ncbOffsetInBytes中的结果比EXE文件本身更大。知道怎么纠正吗?
答案 0 :(得分:2)
正如@rodrigo指出的那样,当PE文件加载到内存中时,每个相关部分将被加载到不同的内存部分,每个部分之间有填充,部分的偏移量以及模块的大小本身,将与磁盘上的PE文件不同。有一些关于其工作原理的信息here。
正如我所看到的那样,你有两种方法可以做你想要做的事情。你要么需要考虑内存中PE的大小并根据你的计算 - 我相信{{1 } IMAGE_OPTIONAL_HEADER的成员将图像大小加载到内存中。另一种选择是继续使用磁盘上PE文件的大小,在这种情况下,您可以将PE文件作为数据文件加载到内存中(而不是使用SizeOfImage)并从那里开始工作。在这种情况下,如果您需要从文件中检索资源的偏移等,您可能需要手动解析和爬网PE文件结构 - 这个结构有一个很好的参考here。