0

我正在编写一个自定义模块来检查 EXE 文件的一致性(这不是这个问题的一部分。)为此,我需要知道 EXE 文件中某个资源的偏移量来计算 EXE 文件正文的大小我需要检查。

我想出了以下代码来获取文件中IDR_HTML_DLG资源的偏移量strExeFilePath

int ncbOffsetInBytes = 0;
HMODULE hModule = LoadLibrary(strExeFilePath);
if(hModule)
{
    HRSRC hRes = ::FindResource(hModule, MAKEINTRESOURCE(IDR_HTML_DLG), RT_HTML);
    if(hRes)
    {
        long szLength = ::SizeofResource(hModule, hRes);
        HGLOBAL hGlobal = ::LoadResource(hModule, hRes);
        if(szLength && hGlobal)
        {
            BYTE* pData = (BYTE*)LockResource(hGlobal);
            DWORD dwLast = (DWORD)(pData + szLength);
            DWORD dwFirst = (DWORD)hModule;

            ncbOffsetInBytes = dwLast - dwFirst;
        }
    }

    ::FreeLibrary(hModule);
    hModule = NULL;
}

但结果ncbOffsetInBytes却比 EXE 文件本身大。知道如何纠正它吗?

4

1 回答 1

2

正如@rodrigo 指出的那样,当一个PE文件被加载到内存中时,每个相关部分都将被加载到不同的内存部分中,每个部分之间都有填充,部分的偏移量以及模块本身的大小将与磁盘上的 PE 文件不同。这里有一些关于它是如何工作的信息

正如我所看到的,有两种方法可以做你想做的事情。你要么需要考虑内存中 PE 的大小,并以此为基础进行计算——我相信SizeOfImage成员IMAGE_OPTIONAL_HEADER给出了图像大小加载到内存中。另一种选择是继续使用磁盘上 PE 文件的大小,在这种情况下,您可以将 PE 文件作为数据文件加载到内存中(而不是使用LoadLibrary),然后从那里开始工作。在这种情况下,如果您需要从文件中检索资源的偏移量等,您可能需要手动解析和抓取 PE 文件结构 - 这里有一个很好的参考资料

于 2013-02-20T11:52:14.593 回答