x86 - 资源表的 ResourceEntries RVA 在将其复制到不同的图像/PE 时需要重定位？

Question

我已经成功构建了一个基本的 JAVA 反汇编器，仅仅是因为已经构建的开源反汇编器(pecoff4j 及其分支)尽管非常出色但没有帮助。我已经设法解析所有 PE header ，将其与 Lord PE 和 PE Explorer 进行比较，一切似乎都已就绪，至少对于 x86 可执行文件而言。我这样做是出于某种原因。我想将PE的资源目录复制到另一个PE。我(尝试)通过首先解析 header 中的所有内容直到填充我的所有变量来执行此操作。我将以 LORD PE 可执行文件为例。下面是第三个目录条目，也就是资源目录。

ResourceDirectorySize: 0x16E50, ResourceDirectoryVirtualAddress: 0x1F000

我牢记这些值，并继续进行节头解析。第一部分是这样的:

Name: .text
VirtualSize: 0x000172D0
Virtualaddress: 0x00001000
SizeOfRawData: 0x00017400
PointedToRawData: 0x00000400

...并最终找到我需要的那个:

Name: .rsrc
VirtualSize: 0x00016E50
Virtualaddress: 0x0001F000
SizeOfRawData: 0x00017000
PointedToRawData: 0x0001C000

由于VirtualSize和VirtualAddress与我上面提到的一样，我确定这是资源表。所以我盲目地将 0x1C000 到 0x33000 范围复制到另一个可执行文件，并且还更新了 PE header 的 ResourceDirectorySize 和 VirtualAddress。

我还更新了其他几项内容，例如图像大小、初始化数据、部分数量以反射(reflect)新的可执行状态。

---

我的问题:ResourceEntries 是否需要重新定位以反射(reflect) ResourceDirectory 的新虚拟地址？

Answer 1

包含内部 PIMAGE_RESOURCE_DATA_ENTRY 结构的资源目录:

typedef struct _IMAGE_RESOURCE_DATA_ENTRY {
    DWORD   OffsetToData;
    DWORD   Size;
    DWORD   CodePage;
    DWORD   Reserved;
} IMAGE_RESOURCE_DATA_ENTRY, *PIMAGE_RESOURCE_DATA_ENTRY;

OffsetToData 成员实际上是 RVA - 因此相对于图像基址的偏移量(当文件映射为图像时)。如果您将资源目录复制到新图像 - 您需要修复所有 IMAGE_RESOURCE_DATA_ENTRY 中的 OffsetToData 字段。因此资源目录必须重定位到新的RVA。

让我们有:

• oldRVA - rva rsrc 放在当前图像中。
• newRVA - rva 其中 rsrc 将被放置在新图像中。

所以我们需要修复 OffsetToData = newRVA + (OffsetToData - oldRVA) 或

DWORD Diff = newRVA - oldRVA; // calc once
OffsetToData += Diff;

所以复制rsrc的代码可以在下一个

void RelocateRSRC(PBYTE prsrc, PIMAGE_RESOURCE_DIRECTORY pird, LONG Delta)
{
    if (DWORD NumberOfEntries = pird->NumberOfNamedEntries + pird->NumberOfIdEntries)
    {
        PIMAGE_RESOURCE_DIRECTORY_ENTRY pirde = (PIMAGE_RESOURCE_DIRECTORY_ENTRY)(pird + 1);

        do 
        {
            if (pirde->DataIsDirectory)
            {
                RelocateRSRC(prsrc,
                    (PIMAGE_RESOURCE_DIRECTORY)(prsrc + pirde->OffsetToDirectory),
                    Delta);
            } 
            else 
            {
                PIMAGE_RESOURCE_DATA_ENTRY data = 
                    (PIMAGE_RESOURCE_DATA_ENTRY)(prsrc + pirde->OffsetToData);

                data->OffsetToData += Delta;
            }

        } while (pirde++, --NumberOfEntries);
    }
}

BOOL CopyRSRC(PVOID ImageBase, BOOLEAN MappedAsImage, ULONG NewRva, void** pprsrc)
{
    *pprsrc = 0;

    ULONG Size;
    if (PIMAGE_RESOURCE_DIRECTORY pird = (PIMAGE_RESOURCE_DIRECTORY)
        RtlImageDirectoryEntryToData(ImageBase, TRUE, IMAGE_DIRECTORY_ENTRY_RESOURCE, &Size))
    {
        NewRva -= RtlPointerToOffset(ImageBase, pird);

        if (!MappedAsImage)
        {
            pird = (PIMAGE_RESOURCE_DIRECTORY)
                RtlImageDirectoryEntryToData(ImageBase, FALSE, IMAGE_DIRECTORY_ENTRY_RESOURCE, &Size);
        }

        if (PBYTE prsrc = new BYTE[Size])
        {
            *pprsrc = prsrc;
            memcpy(prsrc, pird, Size);
            RelocateRSRC(prsrc, (PIMAGE_RESOURCE_DIRECTORY)prsrc, NewRva);
            return TRUE;
        }

        return FALSE;
    }

    return TRUE;
}