我可以使用C ++在EXE文件中找到资源的偏移量吗?

时间:2013-02-20 11:13:44

标签: c++ winapi exe

我正在编写一个自定义模块来检查EXE文件的一致性(这不是这个问题的一部分。)为此,我需要知道EXE文件中某个资源的偏移量来计算EXE的大小我需要检查的文件正文。

我想出了以下代码来获取IDR_HTML_DLG文件中strExeFilePath资源的偏移量:

int ncbOffsetInBytes = 0;
HMODULE hModule = LoadLibrary(strExeFilePath);
if(hModule)
{
    HRSRC hRes = ::FindResource(hModule, MAKEINTRESOURCE(IDR_HTML_DLG), RT_HTML);
    if(hRes)
    {
        long szLength = ::SizeofResource(hModule, hRes);
        HGLOBAL hGlobal = ::LoadResource(hModule, hRes);
        if(szLength && hGlobal)
        {
            BYTE* pData = (BYTE*)LockResource(hGlobal);
            DWORD dwLast = (DWORD)(pData + szLength);
            DWORD dwFirst = (DWORD)hModule;

            ncbOffsetInBytes = dwLast - dwFirst;
        }
    }

    ::FreeLibrary(hModule);
    hModule = NULL;
}

ncbOffsetInBytes中的结果比EXE文件本身更大。知道怎么纠正吗?

1 个答案:

答案 0 :(得分:2)

正如@rodrigo指出的那样,当PE文件加载到内存中时,每个相关部分将被加载到不同的内存部分,每个部分之间有填充,部分的偏移量以及模块的大小本身,将与磁盘上的PE文件不同。有一些关于其工作原理的信息here

正如我所看到的那样,你有两种方法可以做你想要做的事情。你要么需要考虑内存中PE的大小并根据你的计算 - 我相信{{1 } IMAGE_OPTIONAL_HEADER的成员将图像大小加载到内存中。另一种选择是继续使用磁盘上PE文件的大小,在这种情况下,您可以将PE文件作为数据文件加载到内存中(而不是使用SizeOfImage)并从那里开始工作。在这种情况下,如果您需要从文件中检索资源的偏移等,您可能需要手动解析和爬网PE文件结构 - 这个结构有一个很好的参考here