ResourceEntries资源表的RVA在复制到不同的映像/ PE时需要重定位吗？

Posted 2021-04-21

我已经成功地构建了一个基本的JAVA反汇编程序，仅仅因为已经构建的开源代码（pecoff4j及其分支）尽管非常出色但没有帮助。我已经设法解析所有PE头，将它与Lord PE和PE Explorer进行比较，一切似乎都已到位，至少对于x86可执行文件而言。我出于某种原因这样做。我想将PE的资源目录复制到另一个PE。我（尝试）通过首先解析标题中的所有内容来完成此操作，直到填充了所有变量。我将以LORD PE可执行文件为例。下面是第3个目录条目，也就是资源目录。

ResourceDirectorySize: 0x16E50, ResourceDirectoryVirtualAddress: 0x1F000

我记住这些值，然后继续部分标题解析。第一部分是这样的：

Name: .text
VirtualSize: 0x000172D0
Virtualaddress: 0x00001000
SizeOfRawData: 0x00017400
PointedToRawData: 0x00000400

......最终达到我需要的那个：

Name: .rsrc
VirtualSize: 0x00016E50
Virtualaddress: 0x0001F000
SizeOfRawData: 0x00017000
PointedToRawData: 0x0001C000

由于VirtualSize和VirtualAddress与我上面提到的相同，我决定这是资源表。所以我盲目地将范围0x1C000 to 0x33000复制到其他可执行文件，并且还更新PE头的ResourceDirectorySize和VirtualAddress。

我还更新了其他一些东西，比如图像大小，初始化数据，部分数量以反映新的可执行状态。

---

我的问题：为了反映ResourceDirectory的新虚拟地址，是否需要重新定位ResourceEntries？

答案

包含内部PIMAGE_RESOURCE_DATA_ENTRY结构的资源目录：

typedef struct _IMAGE_RESOURCE_DATA_ENTRY {
    DWORD   OffsetToData;
    DWORD   Size;
    DWORD   CodePage;
    DWORD   Reserved;
} IMAGE_RESOURCE_DATA_ENTRY, *PIMAGE_RESOURCE_DATA_ENTRY;

OffsetToData成员实际上是RVA - 所以相对偏离图像库（当文件映射为图像时）。如果您将资源目录复制到新图像 - 您需要修复所有OffsetToData中的IMAGE_RESOURCE_DATA_ENTRY字段。所以资源目录必须重新定位到新的RVA。

让我们：

• oldRVA - rva，其中rsrc放置在当前图像中。
• newRVA - rva其中rsrc将被放置在新图像中。

所以我们需要修复OffsetToData = newRVA + (OffsetToData - oldRVA)或

DWORD Diff = newRVA - oldRVA; // calc once
OffsetToData += Diff;

所以复制rsrc的代码可以是下一个

void RelocateRSRC(PBYTE prsrc, PIMAGE_RESOURCE_DIRECTORY pird, LONG Delta)
{
    if (DWORD NumberOfEntries = pird->NumberOfNamedEntries + pird->NumberOfIdEntries)
    {
        PIMAGE_RESOURCE_DIRECTORY_ENTRY pirde = (PIMAGE_RESOURCE_DIRECTORY_ENTRY)(pird + 1);

        do 
        {
            if (pirde->DataIsDirectory)
            {
                RelocateRSRC(prsrc,
                    (PIMAGE_RESOURCE_DIRECTORY)(prsrc + pirde->OffsetToDirectory),
                    Delta);
            } 
            else 
            {
                PIMAGE_RESOURCE_DATA_ENTRY data = 
                    (PIMAGE_RESOURCE_DATA_ENTRY)(prsrc + pirde->OffsetToData);

                data->OffsetToData += Delta;
            }

        } while (pirde++, --NumberOfEntries);
    }
}

BOOL CopyRSRC(PVOID ImageBase, BOOLEAN MappedAsImage, ULONG NewRva, void** pprsrc)
{
    *pprsrc = 0;

    ULONG Size;
    if (PIMAGE_RESOURCE_DIRECTORY pird = (PIMAGE_RESOURCE_DIRECTORY)
        RtlImageDirectoryEntryToData(ImageBase, TRUE, IMAGE_DIRECTORY_ENTRY_RESOURCE, &Size))
    {
        NewRva -= RtlPointerToOffset(ImageBase, pird);

        if (!MappedAsImage)
        {
            pird = (PIMAGE_RESOURCE_DIRECTORY)
                RtlImageDirectoryEntryToData(ImageBase, FALSE, IMAGE_DIRECTORY_ENTRY_RESOURCE, &Size);
        }

        if (PBYTE prsrc = new BYTE[Size])
        {
            *pprsrc = prsrc;
            memcpy(prsrc, pird, Size);
            RelocateRSRC(prsrc, (PIMAGE_RESOURCE_DIRECTORY)prsrc, NewRva);
            return TRUE;
        }

        return FALSE;
    }

    return TRUE;
}