Windows PE - 如果字符串不在资源中，则字符串存储在何处以及如何存储？

Question

通常，.exe 文件中的字符串（如对话框的内容/标题）存储在某种资源中。

但在最近的一些exe中，我反汇编/资源检查后，我找不到任何包含该字符串的资源，但它以某种方式用db硬编码到程序源代码中。

• 如何提取和修改直接位于程序中的字符串？我假设这些相当于 C++ 中的 const char*？

• 为什么有人不“外包”对话框、菜单等的内容？

Answer 1

如果您想访问 PE 文件中的数据，请尝试此实用程序（附带源代码和友好（非 GPL）许可证，以便您可以在自己的应用程序中使用该代码）。

PE 文件格式 DLL

您应该能够轻松找到相应的地址部分，然后逐步浏览数据。还有一个使用 DLL 的 PE 文件资源管理器项目（带有源代码），因此您可以了解如何为您的应用程序调用 DLL。

更新（2023 年 9 月）。上面的链接已损坏，因为该公司（Object Media Ltd）已不复存在。不过，您可以找到该工具的改进版本，如 PE 文件浏览器< /a>.

免责声明。这些是我们几年前公开的内部工具。我是这些工具的作者（包括损坏链接上的工具和更新后的工具）。该来源已不再可用，因为自 2010 年以来它已经发生了很大变化。

Answer 2

字符串位于 PE 文件的资源或只读数据部分中。当字符串不是控件的标题/标题时，第二种更常见。拆开后，它们只是一块内存，没有特别标记。像 IDA 这样的智能反汇编程序可以注意到代码中对地址的引用并突出显示字符串定义。

• 提取并修改。如果您知道字符串的地址，则很容易提取和修改它。您获取字符串的地址，然后减去图像基址，然后减去节的 RVA，然后加上节的物理偏移量。这将为您提供文件中字符串的位置。在那里您可以使用十六进制编辑器对其进行修改。查找地址很困难 - 您需要分析反汇编代码。
• 为什么有人不“外包”对话框、菜单等的内容？不知道。有人可能会声明 const char* 然后将其设置为标题，而不注意它真正存储在哪里。

Answer 3

到目前为止，从 PE 中获取字符串的最简单方法是使用 strings 实用程序，它是我遇到过的每个 Linux 发行版（甚至 uCLinux）的标准配置。它几乎只是遍历整个二进制文件，寻找一系列以 null 结尾的、可打印的 ASCII 字符……这就是您的规范字符串。 strings --help 显示可用的参数，例如要查找的最小长度字符串、编码、架构帮助程序以及其他您可能不需要的东西。

如果您没有运行 Linux，我建议您启动 Ubuntu Live CD，以获得大量简单而有效的命令行实用程序。