1.4.9 其他常见块其他常见块包括了:“.drective”、“.crt”、“.bss”等等。他们在程序中很少用到。这里不做深入研究了,如果有兴趣,可以参看Microsoft的MSDN中关于PE文件的部分。
1.5 资源目录本来这个已经包含在“.rsrc”节中了,前面已经说过由于它的复杂性和重要性,这里我将它单独讲解,PEDUMP分析器的大部分代码都集中在这部分。资源一般使用树来保存,通常包含3层,最高层是类型,然后是名字,最后是语言。一个PE文件是否包含资源文件,通常检测节表(Section Table)中是否含有名为“.rsrc”的节表,不过这个方法对有些PE文件无效。我做的分析器程序就是使用的这种方法判断资源是否有效的,如果没有找到这个节则跳过资源分析部分,虽然这个方法有一些局限,但通常它总是存在的。一个类型表结构如表1.1.7:域说明 Resource Directory资源目录结构 Resource Data资源数据 表1.1.7(Resource File Layout) 这里我用一个图来表示资源的结构,不然我怎么也说不清楚,主要是它的结构比较混,而且定位比较复杂,如果要找到具
