Feel my life

සිංහලෙන් win32 Portable Executable format

2010-03-11T13:56:00.008+05:30

මෙම ලිපියෙන් ලිවීමට බලාපොරොත්තු වනුයේ win32 Portable Executable format යනුවෙන් හදුන්වන්නේ කුමක්ද යන්නත් මෙතෙක් ලියු ලිපි වල සාරාංශයක් ඉදිරිපත් කිරීමටත්ය.

සිංහලෙන් win32 Portable Executable format - part 9 සදහා මීට පෙර ලිපියට යන්න.

මෙය විස්තර කිරීම සදහා නිශ්චිත ක්‍රමයක් නොමැත. එම නිසා මා දන්නා පමණනින් විස්තර කිරීම‍ට බලාපොරොත්තු වෙන්නෙමි. මෙම file format එක COFF (Common Object File Format) ලෙසද හදුන්වන ස්ථානද දක්නට ඇත. මෙය Microsoft ආයතනය විසින් පමණක් නිර්මානය කරන ලද්දක් නොවන අතර Intel, Borland, Watcom, IBM වැනි ආයතන කිහිපයක්ද එකතුව නිර්මානය කරන ලද්දකි.
මෙයටද වෙනත් file වර්ග(.html, .zip, .bmp වැනි) වලට මෙන්ම ආවේනික රටාවක් තිබේ. මෙම format එකට සකසන files .exe, .dll, .ocx, .cpl, .sys වැනි extenstions වලින් තිබිය හැක.

PE එකක් යනු compiler එකක් මගින් සකසන ලද file එකක් වේ. එය අපට නිර්මානය කිරීමට අපහසුය. අපට win32 executable එකක් සැකසීමට නම් PE format එක ගැනත් Linker එකක ක්‍රියාවලියත් යන 2ම ගැන හොද අවබෝධයක් තිබිය යුතුය. ඊ‍ට අමතරව library file වල ඇති functions ගැනත්, ඒවායේ කාර්යයන් ගැනත් හොද අවබෝධයක් තිබිය යුතුය.

මෙම ලිපි මාලාවේ පැහැදිලි කිරීම් සදහා calc.exe හා shell32.dll (අනවසරයෙන්)යොදා ගෙන ඇත.

PE file එකක් සැකසීමට 0 සිට 255 (ASCII Code) දක්වා ඇති සියලුම අකුරැ භාවිතයට ගනී. එම නිසා ඒවා text editor එකකින් කියවිය නොහැක. ඒවා කියවීමට නම් එය hex editor එකකින් විවෘත කර ගත යුතුය.

Source එක හා output එක පමණක් සැලකූ විට,

html source file එකක් web browser එකක් මගින් විවෘත කල විට එහි source එකට අනුව output එකක් නිර්මාණය කර දෙයි.

එසේම exe එකක් ක්‍රියාත්මක කල විට PE එකෙහි source එකට අදාල output එකක් අපට දැක ගත හැක.

PE format එක යනු PE එකක source එක තබා ගන්නා ආකෘතිය වේ. මෙම ලිපි මාලාවෙන් පැහැදිලි කර තිබෙනුයේ PE එකක source file එකෙහි format එක ගැනය. එය html යන language එක ගැන පැහැදිලි කිරීමක් වැනිය.
මෙහිදී සියළු පැහැදිලි කිරීම් සිදුකර ඇත්තේ අන්තර්ජාලය හරහා ලබා ගත් තොරතුරු මත හා මාගේ ස්වයං අධ්‍යයන මත ලබා ගත් කරුනු මගිනි. මෙම පැහැදිලි කිරීම් සදහා මා විසින් නිර්මාණය කරන ලද මෘදුකාංගයක් යොදා ගෙන ඇත. එය PE file එක තිබෙන ආකාරය බලා ගැනීමට හා වෙනස් කිරීමට හැකි IDE එකක් ලෙස ක්‍රියා කරයි. නමුත් මෙමගින් නව PE file එකක් නිර්මාණය කල නොහැක. මෙහිදී සිදු කරනුයේ PE එකෙහි data වෙනස් කර පිටපතක් save කිරීම පමනකි.

මෙම PE file වල magic code එක "MZ" වේ. PE එකක ව්‍යුහය පිළිබදව අන්තර්ජාලය තුල සෙවීම් කිරීමේදී විවිධ ආකාරයේ පැහැදිලි කිරීම් දක්නට තිබේ. නමුත් මෙහිදී මා පළමුව සිදු කලේ PE එක ප්‍රධාන කොටස් 3 කට වෙන් කර එය tree එකක් ආකාරයට සකසා ගැනීමයි. පළමු කොටස MS-DOS දත්ත සදහාද, දෙවන කොටස Win NT දත්ත සදහාද, තෙවන කොටස PE එකෙහි data ඇති කොටස වශයෙන්ද වෙන් කර ඇත. මෙහි පළමු කොටස් 2හි ඇති සියළු උප කොටස් සෑම PE එකකම පාහේ දක්නට ඇත.තෙවන කොටස section වල meta data හා section data යනුවෙන් තවත් කොටස් 2 කට වෙන් කර ඇත. මෙම sections .text, .rsrc, .data වැනි නම් වලින් පිහිටා තිබේ. මෙම section තුල data අඩංගු tables පිහිටා ඇත. ඒවා import table, export table, resource table වැනි නම් වලින් පිහිටා ඇත. මෙම table තුල භාවිතා කරන දත්ත, executable code එක, වෙනත් library තුලින් import කල යුතු functions ගැන විස්තර ආදිය තිබේ.

මෙහි PE එකෙහි ව්‍යුහය tree එකක් ආකාරයට දක්වා ඇත.

සිංහලෙන් win32 Portable Executable format - part 9

2010-03-10T15:37:00.018+05:30

පසුගිය සතියේ RT_DIALOG පිළිබදව විස්තර කිරීමක් සිදු කර ඇත. තවද dialog එකක් තුල ඇති Object classes කිහිපයක් ගැනද, ඒවායේ attribute ගැනද සදහන් කර ඇත. මේ සතියේ තවත් Object classes කිහිපයක් ගැන සදහන් කිරීමට බලාපොරොත්තු වෙමි.

COMBO BOX

STYLE NAME	BIT #
CBS_LOWERCASE	xviii=1
CBS_UPPERCASE	xix=1
CBS_DISABLENOSCROLL	xxi=1
CBS_NOINTEGRALHEIGHT	xxii=1
CBS_HASSTRINS	xxiii=1
CBS_SORT	xxiv=1
CBS_OEMCONVERT	xxv=1
CBS_AUTOHSCROLL	xxvi=1
CBS_OWNERDRAWVARIABLE	xxvii=1
CBS_OWNERDRAWFIXED	xxviii=1
CBS_DROPDOWNLIST	xxxi=1 And xxxii=1
CBS_DROPDOWN	xxxi=1 And xxxii=0
CBS_SIMPLE	xxxi=0 And xxxii=1

msctls_trackbar32

TBS_NOTHUMB	xxv=1
TBS_FIXEDLENGHT	xxvi=1
TBS_ENABLESELRANGE	xxvii=1
TBS_NOTICKS	xxviii=1
TBS_HORZ	xxxi=0
TBS_VERT	xxxi=1
TBS_AUTOTICKS	xxxii=1
TBS_RIGHT	xxx=0
TBS_BOTTOM	xxx=0
TBS_TOP	xxx=1
TBS_LEFT	xxx=1
TBS_BOTH	xxix=1

msctls_updown32

UDS_NOTHOUSANDS	xxv=1
UDS_HORZ	xxvi=1
UDS_ARROWKEYS	xxvii=1
UDS_AUTOBUDDY	xxviii=1
UDS_ALIGNLEFT	xxix=1
UDS_ALIGNRIGHT	xxx=1
UDS_SETBUDDYINT	xxxi=1
UDS_WRAP	xxxii=1

msctls_progress32

PBS_VERTICAL	xxx=1
PBS_SMOOTH	xxxii=1

SysListView32

LVS_NOSORTHEADER	xvii=1
LVS_NOCOLUMHEADER	xviii=1
LVS_NOSCROLL	xix=1
LVS_OWNERDATA	xx=1
LVS_OWNERDRAWFIXED	xxii=1
LVS_EDITLABELS	xxiii=1
LVS_AUTOARRANGE	xxiv=1
LVS_ALIGNTOP	xxi=0
LVS_ALIGNLEFT	xxi=1
LVS_NOLABELWRAP	xxv=1
LVS_SHAREIMAGELISTS	xxvi=1
LVS_SORTDESCENGING	xxvii=1
LVS_SORTASCENDING	xxviii=1
LVS_LIST	xxxi=1 And xxxii=1
LVS_SMALLICON	xxxi=1 And xxxii=0
LVS_REPORT	xxxi=0 And xxxii=1
LVS_ICON	xxxi=0 And xxxii=0
LVS_SHOWSELALWAYS	xxx=1
LVS_SINGLESEL	xxix=1

SysTreeView32

TVS_SHOWSELALWAYS	xxvi=1
TVS_DISABLEDRAGDROP	xxvii=1
TVS_EDITLABELS	xxviii=1
TVS_LINESATROOT	xxix=1
TVS_HASLINES	xxxi=1
TVS_HASBUTTONS	xxxii=1

SysTabControl32

TCS_FOCUSNEVER	xvii=1
TCS_TOOLTIPS	xviii=1
TCS_OWNERDRAWFIXED	xix=1
TCS_FOCUSONBUTTONDOWN	xx=1
TCS_RIGHTJUSTIFY	xxii=0
TCS_FIXEDWIDTH	xxii=1
TCS_SINGLE	xxiii=0
TCS_MULTILINE	xxiii=1
TCS_TABS	xxiv=0
TCS_BUTTONS	xxiv=1
TCS_RAGGEDRIGHT	xxi=1
TCS_VERTICAL	xxv=1
TCS_HOTTRACK	xxvi=1
TCS_FORCELABELLEFT	xxvii=1
TCS_FORCEICONLEFT	xxviii=1
TCS_RIGHT	xxxi=1
TCS_BOTTOM	xxxi=1
TCS_SCROLLOPPOSITE	xxxii=1

SysAnimate32

ACS_TIMER	xxviii=1
ACS_AUTOPLAY	xxix=1
ACS_TRANSPARENT	xxxi=1
ACS_CENTER	xxxii=1

RichEdit20A

ES_SELECTIONBAR	ix=1
ES_VERTICAL	x=1
ES_NOIME	xiii=1
ES_SELFIME	xiv=1
ES_SAVESEL	xvii=1
ES_SUNKEN	xviii=1
ES_DISABLENOSCROLL	xix=1
ES_WANTRETURN	xx=1
ES_READONLY	xxi=1
ES_NOHIDESEL	xxiv=1
ES_AUTOHSCROLL	xxv=1
ES_AUTOVSCROLL	xxvi=1
ES_PASSWORD	xxvii=1
ES_RIGHT	xxxi=1 And xxxii=0
ES_CENTER	xxxi=0 And xxxii=1
ES_LEFT	xxxi=0 And xxxii=0
ES_NOOLEDRAGDROP	xxix=1
ES_MULTILINE	xxx=1

SysDateTimePick32

DTS_RIGHTALIGN	xxvii=1
DTS_APPCANPARSE	xxviii=1
DTS_SHOWNONE	xxxi=1
DTS_UPDOWN	xxxii=1
DTS_SHORTDATEFORMAT	xxx=0
DTS_LONGDATEFORMAT	xxx=1
DTS_TIMEFORMAT	xxix=1

SysMonthCal32

MCS_NOTODAY	xxix=1
MCS_WEEKNUMBERS	xxx=1
MCS_MULTISELECT	xxxi=1
MCS_DAYSTATE	xxxii=1

ComboBoxEx32

CBS_LOWERCASE	xviii=1
CBS_UPPERCASE	xix=1
CBS_DISABLENOSCROLL	xxi=1
CBS_NOINTGRALHRIGHT	xxii=1
CBS_HASSTRINGS	xxiii=1
CBS_SORT	xxiv=1
CBS_OEMCONVERT	xxv=1
CBS_AUTOHSCROLL	xxvi=1
CBS_DROPDOWNLIST	xxxi=1 And xxxii=1
CBS_DROPDOWN	xxxi=1 And xxxii=0
CBS_SIMPLE	xxxi=0 And xxxii=1

object සදහා වන Styles හා ExStyles යෙදිය හැකි අගයන් ඉහත දක්වා තිබේ. මීගල‍ට ඇති 4 bytes මගින් දක්වනු ලබන්නේ එම object එක තිබෙන ස්ථානයේ x හා y ඛණ්ඩාංකයන් වේ. මිලග 4 bytes මගින් දක්වා ඇත්තේ එම object එකෙහි පළල හා උස වේ. මෙම අගයන් පික්සල්(px) මගින් දක්වා ඇත. මීලග 4 bytes මගින් පෙන්වනු ලබන්නේ Object එකෙහි ID එක වේ. මීලග‍ට ඇති 2 bytes මගින් 0xFFFF පෙන්නුම් කර ඇත්නම් එමගින් කියවෙනුයේ ඉන් පසුව ඇති 2 bytes මගින් Object class එකට අදාල අංකය දක්වා ඇති බවය. එසේ නොමැති නම් පසුව ඇත්තේ එම Object එකෙහි නම වේ.

Object class වලට අදාල අංක පහත ආකාර වේ.

0x0080	BUTTON
0x0081	TEXT BOX
0x0082	STATIC
0x0083	LIST BOX
0x0084	SCROLLBAR
0x0085	COMBO BOX

වෙනත් අංකයක් නම් එහි Object class එක ලෙස එම අංකයම යොදා ගනී.

මීලග‍ට ඇති 2 bytes මගින් 0xFFFF නිරෑපනය කර ඇත්නම් එමගින් කියවනුයේ මීලගට ඇති 2 bytes මගින් අදාල Object එක හා සම්බන්ධ කර ඇති resource එකක ID එකක් වේ.

උදා:- Object එක Icon එකක් යැයි සිතන්න එවිට එයට යෙදිය යුතු Icon එකෙහි ID එක මෙහි දක්වා ඇත.
එසේ නොමැති නම් මෙහි සදහන් වනුයේ text එකකි. එය Object එකට අදාල caption එකක් විය හැක.

මෙතනින් RT_DIALOG ගැන ලියල ඉවරයි. ලබන සතියේ ලියන්නේ RT_STRING ගැනයි.

සිංහලෙන් win32 Portable Executable format - part 8

2010-01-19T16:44:00.036+05:30

පසුගිය කලාපයේ Resource data වර්ග 3 ක් පිළිබදව විස්තර කරන ලදී. මෙවර තවත් resource data වර්ග කීපයක් ගැන විස්තර කිරීමට බලාපොරොත්තු වෙමි.

RT_DIALOG (0x00000005)
මෙහි ඇත්තේ PE එකක අපට දක්නට ඇති dialogs වේ. එනම් අප forms ලෙස හදුන්වන්නේද මේවාය. මෙම dialog එකක් තුල තවත් objects තිබිය හැක. එනම් buttons, check boxes, radio buttons ආදිය වේ. පලමුව dialog එකක structure එක හදුනා ගැනීම සිදු කරමු.

dialog වර්ග 2 ක් තිබේ. එනම් Extended Styles(ExStyles) ඇති හා නැති ඒවා ලෙසය.

මෙහි resource data හි පලමු 8 bytes 0x00000000FFFF0001 ලෙස ඇත්නම් එහි ExStyles ඇත.

මෙහි මීට පසුව ඇති පලමු 4 bytes මගින් ExStyles පෙන්නුම් කරයි. එම styles පහත ආකාරයට දැක්විය හැක.
උදා:- Shell32.dll හි 1003 යන dialog එකෙහි ExStyle එක 0x00000000 ලෙස වේ.

STYLE NAME	BIT #
WS_EX_NOACTIVATE	v=1
WS_EX_LAYOUTRTL	x=1
WS_EX_NOINHERITLAYOUT	xii=1
WS_EX_LAYERED	xiii=1
WS_EX_APPWINDOW	xiv=1
WS_EX_STATICEDGE	xv=1
WS_EX_CONTROLPARENT	xvi=1
WS_EX_LEFTSCROLLBAR	xviii=1
WS_EX_RTLREADING	xix=1
WS_EX_RIGHT	xx=1
WS_EX_LEFT WS_EX_LTRREADING WS_EX_RIGHTSCROLLBAR	xviii=0 And xix=0 And xx=0
WS_EX_CONTEXTHELP	xxii=1
WS_EX_CLIENTEDGE	xxiii=1
WS_EX_WINDOWEDGE	xxiv=1
WS_EX_TOOLWINDOW	xxv=1
WS_EX_MDICHILAD	xxvi=1
WS_EX_TRANSPARENT	xxvii=1
WS_EX_ACCEPTFILES	xxviii=1
WS_EX_TOPMOST	xxix=1
WS_EX_NOPARENTNOTIFY	xxx=1
WS_EX_DLGMODALFRAME	xxxii=1
WS_EX_PALETTEWINDOW	xxiv=1 And xxv=1 And xxix=1
WS_EX_OVERLAPPEDWINDOW	xxiii=1 And xxiv=1

මෙහි මීලග 4 bytes මගින් Window Styles පෙන්නුම් කෙරේ. එම Styles පහත ආකාරයට පෙන්නුම් කල හැක.
උදා:- Shell32.dll හි 1003 යන dialog එකෙහි Style එක 0x80C821CC ලෙස ඇත.

STYLE NAME	BIT #
WS_POPUP	i=1 And ii=0
WS_CHILD	i=0 And ii=1
WS_MINIMIZE	iii=1
WS_VISIBLE	iv=1
WS_DISABLED	v=1
WS_CLIPSIBLINGS	vi=1
WS_CLIPCHILDREN	vii=1
WS_MAXIMIZE	viii=1
WS_BORDER	ix=1 And x=0
WS_DLGFRAME	ix=1 And x=0
WS_CAPTION	ix=1 And x=1
WS_VSCROLL	xi=1
WS_HSCROLL	xii=1
WS_SYSMENU	xiii=1
WS_THICKFRAME	xiv=1
WS_MINIMIZEBOX	xv=1
WS_MAXIMIZEBOX	xvi=1
DS_CONTEXTHELP	xix=1
DS_CENTERMOUSE	xx=1
DS_CENTER	xxi=1
DS_CONTROL	xxii=1
DS_SETFOREGROUND	xxiii=1
DS_NOIDLEMSG	xxiv=1
DS_MODALFRAME	xxv=1
DS_SETFONT	xxvi=1
DS_LOCALEDIT	xxvii=1
DS_NOFAILCREATE	xxviii=1
DS_FIXEDSYS	xxix=1
DS_SYSMDAL	xxxi=1
DS_ABSALIGN	xxxii=1
WS_POPUPWINDOW	i=1 And ix=1 And x=1 And xiii=1
WS_TILEDWINDOW	ix=1 And x=1 And xiii=1 And xiv=1 And xv=1 And xvi=1

මීලගට ඇති 2 bytes මගින් මෙම form එකෙහි ඇති objects ගණන දක්වා ඇත. මෙහි 0x0008 ලෙස ඇත. මීලග 2 bytes මගින් form එක පෙන්විය යුතු ස්ථානයේ X ඛන්ඩාංකය දක්වා ඇත. මෙහිදී 0x0000 වේ. මීලග 2 bytes මගින් Y ඛන්ඩාංකය දක්වා ඇත. මෙහිදී 0x0000 වේ. මීලග 2 bytes මගින් form එකෙහි width එකද ඊලග 2 bytes මගින් form එකෙහි height එකද දක්වා ඇත. මෙහිදී ඒවා 0x00E3 හා 0x005F ලෙස වේ. මීලග 2 bytes මගින් form එකට Main menu එකක් තිබේද යන වග පෙන්වයි. මෙහි අගය 0x0000 හෝ 0xFFFF නොවේ නම්, එහි ඇති අගය menu එකෙහි ID එක වේ. 0xFFFF ලෙස ඇත්නම් ඊලග 2 bytes මගින් menu ID එක පෙන්නුම් කරයි. මීලගට menu ID එක දැක්වූ ආකාරයටම class ID එක දක්වා ඇත. මෙහිදී බොහෝ විට 0x0000 ලෙස ඇත. මීලගට ඇත්තේ form එකෙහි caption එක වේ. මීලග 2 bytes මගින් form එකෙහි font size එක දක්වා ඇත. මීලග 2 bytes මගින් font weight එක දක්වා ඇත. මීලග 2 bytes මගින් italic ද යන වග දක්වා ඇත. එය 0x0001 ලෙස ඇත්නම් italic ද 0x0000 ලෙස ඇත්නම් italic නොවන බවද පෙන්නුම් කරයි. මීලගට ඇත්තේ font name එක වේ. මෙහි weight හා italic යන්න ඇත්තේ ExStyles ඇති forms වල පමණක් වේ.

මීලගට ඇත්තේ form එකෙහි objects පිළිබද විස්තර වේ. ඒවා array එකක් ලෙස ඇත. පළමුව object classes හදුනා ගනිමු.

ප්‍රධාන වශයෙන් classes වර්ග 6 ක් ඇත. එම classes හා ඒවාට අයත් objects පහත දක්වා ඇත.

මෙම සෑම object එකකම data ආරම්භ වනුයේ file offset එක 4 හි ගුණාකාරයක් වන ස්ථානයකිනි. එනම් මෙහි alignment එක 4 වේ. එක් object එකක් ගත් විට,

මෙහි පළමු 4 bytes මගින් ExStyles පෙන්නුම් කරයි. මෙය ExStyles ඇති forms වල පමණක් ඇත. ExStyles පහත ආකාර වේ.

STYLE NAME	BIT #
WS_EX_DLGMODALFRAME	xxxii=1
WS_EX_CLIENTEDGE	xxiii=1
WS_EX_STATICEDGE	v=1

තවද object එකෙහි class එක අනුව ExStlyes ඇත. ඒවා පහත දක්වා ඇත.

SysListView32

STYLE NAME	BIT #
LVS_EX_GRIDLINES	xxxii=1
LVS_EX_SUBITEMIMAGES	xxxi=1
LVS_EX_CHECKBOXES	xxx=1
LVS_EX_TRACKSELECT	xxix=1
LVS_EX_HEADERRAGDROP	xxviii=1
LVS_EX_FULLROWSELECT	xxvii=1
LVS_EX_ONECLICKACTIVATE	xxvi=1
LVS_EX_TWOCLICKACTIVATE	xxv=1

SysTabControl32

STYLE NAME	BIT #
TCS_EX_FLATSEPARATORS	xxxii=1
TCS_EX_REGISTERDROP	xxxi=1

RichEdit20A

STYLE NAME	BIT #
ES_EX_NOCALLOLEINIT	xxxii=1

ComboBoxEx32

STYLE NAME	BIT #
CBES_EX_NOEDITIMAGE	xxxii=1
CBES_EX_NOEDITIMAGEINDENT	xxxi=1
CBES_EX_PATHWORDBREAKPRO	xxx=1
CBES_EX_NOSIZELIMIT	xxix=1
CBES_EX_CASESENSITIVE	xxviii=1

මීලග 4 bytes මගින් දක්වා ඇත්තේ Styles වේ. ඒවා පහත ආකාර වේ.

STYLE NAME	BIT #
WS_TABSTOP	xvi=1
WS_GROUP	xv=1
WS_HSCROLL	xii=1
WS_VSCROLL	xi=1
WS_BORDER	ix=1
WS_CLIPSBLINGS	vi=1
WS_DISABLED	v=1
WS_VISIBLE	iv=1
WS_CHILD	ii=1

මෙහිදීද object class එක අනුව styles දක්වනු ලැබේ.

BUTTON
අවසන් 4 bits හි අගය,

BS_PUSHBUTTON	0
BS_DEEPUSHBUTTON	1
BS_CHECKBOX	2
BS_AUTOCHECKBOX	3
BS_RADIOBUTTON	4
BS_3STATE	5
BS_AUTO3STATE	6
BS_GROUPBOX	7
BS_USERBUTTON	8
BS_AUTORADIOBUTTON	9
BS_OWNERDRAW	11

STYLE NAME	BIT #
BS_LEFTTEXT	xxvii=1
BS_ICON	xxvi=1
BS_BITMAP	xxv=1
BS_LEFT	xxiv=1 And xxiii=0
BS_RIGHT	xxiv=0 And xxiii=1
BS_CENTER	xxiv=1 And xxiii=1
BS_TOP	xxiv=1 And xxiii=0
BS_BOTTOM	xxii=0 And xxi=1
BS_VCENTER	xxii=1 And xxi=1
BS_PUSHLIKE	xx=1
BS_MULTILINE	xix=1
BS_NTIFY	xviii=1
BS_FLAT	xvii=1

TEXT BOX

STYLE NAME	BIT #
ES_LEFT	xxxii=0 And xxxi=0
ES_CENTER	xxxii=1 And xxxi=0
ES_RIGHT	xxxii=1 And xxxi=1
ES_MULTILINE	xxx=1
ES_UPPERCASE	xxix=1
ES_LOWERCASE	xxviii=1
ES_PASSWORD	xxvii=1
ES_AUTOVSCROLL	xxvi=1
ES_AUTOHSCROLL	xxv=1
ES_NOHIDESEL	xxiv=1
ES_OEMCONVERT	xxiii=1
ES_READONLY	xxii=1
ES_WANTRETURN	xxi=1
ES_NUMBER	xx=1

STATIC
අවසන් 4 bits හි අගය,

SS_LEFT	0
SS_CENTER	1
SS_RIGHT	2
SS_ICON	3
SS_BLACKRECT	4
SS_GRAYRECT	5
SS_WHITERECT	6
SS_BLACKFRAME	7
SS_GRAYFRAME	8
SS_WHITEFRAME	9
SS_USERITEM	10
SS_SIMPLE	11
SS_LEFTNOWORDWRAP	12
SS_OWNERDRAW	13
SS_BITMAP	14
SS_ENHMETAFILE	15

STYLE NAME	BIT #
SS_NOPREFIX	xxv=1
SS_REALSIZEIMAGE	xxi=1
SS_RIGHTIMAGE	xxii=1
SS_CENTERIMAGE	xxiii=1
SS_NOTIFY	xxiv=1
SS_WORDELLIPSIS	xvii=1 And xviii=1
SS_PATHELLIPSIS	xvii=1 And xviii=1
SS_ENDELLIPSIS	xvii=0 And xviii=1
SS_SUNKEN	xx=1

LIST BOX

STYLE NAME	BIT #
LBS_NODATA	xix=1
LBS_DISABLENOSCROLL	xx=1
LBS_EXTENDEDSEL	xxi=1
LBS_WANTKEYBOARDINPUT	xxii=1
LBS_MULTICOLUMN	xxiii=1
LBS_NOINTEGRALHEIGHT	xxiv=1
LBS_USETABSTOPS	xxv=1
LBS_HASSTRINGS	xxvi=1
LBS_OWNERDRAWVARIABLE	xxvii=1
LBS_OWNERDRAWFIXED	xxviii=1
LBS_MULTIPLESEL	xxix=1
LBS_NOREDRAW	xxx=1
LBS_SORT	xxxi=1
LBS_NOTIFY	xxxii=1

SCROLLBAR

STYLE NAME	BIT #
SBS_SIZEGRIP	xxviii=1
SBS_SIZEBOX	xxix=1
SBS_BOTTOMALIGN	xxx=1
SBS_RIGHTALIGN SBS_SIZEBOXBOTTOMRIGHTALIGN SBS_TOPALIGN SBS_LEFTALIGN SBS_SIZEBOXTOPLEFTALIGN	xxxi=1
SBS_HORZ	xxxii=0
SBS_VERT	xxxii=1

අදට ලියල ඉවරයි. මේ කොටසේ තව ලියන්න තියෙනවා. මීලග කොටසින් ඒ ටික ලියනවා.

සිංහලෙන් win32 Portable Executable format - part 7

2009-12-07T13:40:00.031+05:30

හුග කාලෙකට පස්සෙ සතියක නිවාඩුවක් ලැබුන. ඒ හින්ද ආයෙමත් blog එක ලියන්න වෙලාවක් වෙන් කර ගන්න පුළුවන් කමක් ලැබුන. පසුගිය කොටස් වල ලිව්වෙ resource data ලබා ගන්න ආකාරය, මේ ‍කොටසේ සිට ලියන්නෙ එම resource data තිබෙන format එක ගැනයි.

Resource Data
මෙම කොටසෙහි ඇත්තේ Resource Data වේ. ඒවා ගිය වර කලාපයේ දක්වන ලද Resource types 14 ට හෝ Custom resource එකක් විය හැක. එහි මෙම Resource Data තිබෙන ස්ථානය පිළිබද විස්තරයක් කර ඇත. මෙම එක් එක් Resource Data වලින් data ලබා ගන්නා ආකාරය පහත දක්වා ඇත.

RT_CURSOR (0x00000001)
මෙහි ඇත්තේ PE සදහා යොදා ගන්නා Cursors වේ. මෙහි cursor එකෙහි සම්පූර්ණ data ප්‍රමාණයම නොමැත. මෙහි ඇති data මගින් අප cursor එක නිර්මානය කර ගත යුතුය. මෙය සිදු කිරීමට නම් අප cursor data format එක ගැන දැනගෙන සිටිය යුතුය.

එක් cursor file එකක් තුල images කීපයක් තිබිය හැක. එසේ තිබෙන්නේ වෙනස් bit depths හා වෙනස් dimentions සහිත එකම image එක වේ. නමුත් මෙහිදී ඇති cursor එකක තිබෙන්නේ තනි image එකක් පමණි. RT_CURSORGROUP යටතේ මෙම තනි cursor, group වන ආකාරය සදහන්ව ඇත. අපට අවශ්‍ය පරිදි එක් image එකක් සහිත තනි cursor file එකක් හෝ image කීපයක් එක් කර සාදා ගන්නා තනි cursor file එකක් වුවද ලබා ගත හැක.

Cursor File Format (.cur)
මෙහි පළමු 6 bytes සම්පූර්ණ cursor එකටම අදාල වේ. පළමු බයිට 4, 0x00000200 ලෙස වේ. ඊලග 2 bytes මගින් cursor images ගනන දක්වා ඇත. ඉන් පසු එක් image එකක් සදහා 16 bytes බැගින් වන headers තිබේ. එම header එකක පළමු 2 bytes මගින් dimentions දක්වා ඇත‍. මීලග 2 bytes මගින් Bit depth දක්වා තිබුනද 0x0000 යන අගයේද තිබිය හැක. එය 0x0000 ලෙස ඇත්නම් True color වේ. එම අගය ලබා ගත යුත්තේ RT_CURSORGROUP යන ස්ථානයෙන් වේ. මීලග 2 bytes මගින් click point එකෙහි x කණ්ඩාංකය දක්වා ඇත. එලෙසම ඊලග 2 bytes මගින් y කණ්ඩාංක දක්වා ඇත. මීලග 4 bytes මගින් cursor data හි විශාලත්වය දක්වා ඇත. මීලග 4 bytes මගින් cursor එකෙහි data ආරම්හ වන ස්ථානය headers හි ආරම්භක ස්ථානයට සාපේක්ෂව දක්වා ඇත. ඉන් පසුව cursor data පිහිටා ඇත. එහි පිහිටීම පහත රෑප සටහනේ දක්වා ඇත.

cursor data වෙත ගිය විට ඇත්තේ එම cursor එකෙහි x හා y කණ්ඩාංක හා cursor data පමණි. මෙහි dimentions, cursor data තුලින් ලබා ගත හැක.

RT_BITMAP (0x00000002)
මෙහි ඇත්තේ PE එක සදහා යොදා ගන්නා pictures වේ. ඒවා .bmp ආකාරයෙන් තිබේ. මෙහිද සම්පූර්ණ picture එක දක්නට නොලැබේ. එය අප picture data තුලින් නිර්මාණය කර ගත යුතු වේ.

Bitmap Image File Format (.bmp)
මෙම format එකෙහි පළමු 2 bytes 0x424D ලෙස වේ. මීලග 4 bytes මගින් image data හි විශාලත්වය දක්වා ඇත. මීලග 4 bytes 0x00000000 ලෙස තබන්න. මීලග 4 bytes, bit depth මත තීරනය වේ. නිල් පාටින් දක්වා ඇති ස්ථානයේ ඇත්තේ 0x00000000 නම්, රතු පාටින් දක්වා ඇති ස්ථානයේ අගය 0x0004 වන විට 0x00000076 ලෙසද, 0x0008 වන විට 0x00000436 ලෙසද, 0x0018 හෝ 0x0020 වන විට 0x00000036 ලෙසද විය යුතුය. නිල් පාටින් ඇති ස්ථානයේ වෙනත් අගයක් ඇත්නම් එම අගය 0x04 න් ගුණ කර 0x36 ක් එකතු කර ලිවිය යුතුය. ඉන් පසුව image data තිබේ.

RT_ICON (0x00000003)
මෙහි ඇත්තේ PE එක සදහා භාවිතා කරන icons වේ. මෙයට ඇත්තේ cursor format එකට සමාන format එකකි.

Icon File Format (.ico)
එහි පළමු 4 bytes, 0x00000100 ලෙස යොදන්න. ඊලග 2 bytes මගින් icon images ගනන දක්වා ඇත. header එකක පළමු 2 bytes මගින් dimentions දක්වා ඇත. ඊලග 2 bytes මගින් bit depth එක දක්වා ඇත. එය 0x0000 ලෙස ඇත්නම් True color වේ. එම අගය ලබා ගත යුත්තේ RT_ICONGROUP යන ස්ථානයෙන් වේ. මීලග 4 bytes සදහා 0x00000000 යොදන්න. මීලග 4 bytes මගින් icon data හි විශාලත්වය දක්වා ඇත. මීලග 4 bytes මගින් icon එකෙහි data ආරම්හ වන ස්ථානය දක්වා ඇත. ඉන් පසුව icon image එකට අදාල data තිබේ.

group කරන ලද icon එකෙහි පිහිටීමද මෙහි දක්වා ඇත.

RT_MENU (0x00000004)
මෙහි තිබෙන්නේ PE එකෙහි ඇති Menus වේ. මෙහි menu ආකාර දෙකකින් තිබේ. මෙහි පළමු byte එක 0x00 ලෙස ඇත්නම් එක් ආකාරයක්ද, 0x01 ලෙස ඇත්නම් තවත් ආකාරයක්ද වේ. එය පහත විස්තර කර ඇත.

පළමු byte එක 0x00 ලෙස ඇත්නම්,
පළමු 4 bytes අත් හරින්න. පසුව ඇත්තේ menu items වේ. එක් menu item එකක් ගත් විට
එහි පළමු 2 bytes මගින් පෙන්නුම් කරනුයේ attributes වේ. එය bit ආකාරයෙන් ගත් විට එහි 9 වැනි bit එක 1 ලෙස සටහන්ව ඇත්නම් එම menu item එක එම munu level එකෙහි අවසන් munu item එක වේ. එසේම 12 වැනි bit එක 1 ලෙස ඇත්නම් එම menu item එකෙන් sub menu එකක් ආරම්භ වේ. මෙම 2 bytes 0x0000 ලෙස ඇත්නම් එය ඉහත ආකාර දෙකට අයත් නොවන menu item එකක් වේ.
දෙවන 2 bytes මගින් menu item ID එක දැක්වේ. මෙම ආකාරයේ menu වල sub menu එකක් ආරම්භ වන items (popup items) commands ලබා දීම සදහා භාවිතයට නොගනී. එම නිසා එකම item ID එක වුවද තිබිය හැක. මීලගට ඇත්තේ menu text එක වේ. එය 2 bytes බැගින් 0x0000 හමු වන තෙක් කියවිය යුතුය. menu text එක NULL අගයක් නම් එමගින් කියවනුයේ එය separator එකක් බවය.
එක් menu item හි සැකසුම පහත ආකාර වේ.

මෙහි පළමු item එකෙහි පළමු 2 bytes හි 12 වන bit එක 1 බැවින් එමගින් sub menu එකක් ආරම්භ වේ. එම නිසා Properties යන item එක Printer යන item එකෙහි sub menu එකක් වේ. Close යන item එකෙහි පළමු 2 bytes හි 9 වැනි bit එක 1 ලෙස ඇති බැවින් එම ස්ථානයෙන් sub menu එක අවසන් වේ. එම නිසා Document යන්න Printer යන item එක ඇති level එකෙහිම ඇති item එකක් වේ. Help යන item එකෙහි පළමු 2 bytes හි 9 වැනි bit එක 1 බැවින් එම ස්ථානයෙන් menu එක අවසන් වේ.

පළමු byte එක 0x01 ලෙස ඇත්නම්,
පළමු 8 bytes අත් හරින්න. ඒවායින් කෙරෙනුයේ menu එකෙහි වර්ගය හදුනා ගැනීමයි. ඉන් පසුව ඇත්තේ menu items වේ. මෙම සෑම menu item එකක්ම ආරම්භ වනුයේ file offset එක 4 හි ගුණාකාරයක් වන ස්ථානයකිනි. එනම් මෙම කොටසෙහි file alignment එක 4 ක් වේ. මෙම එක් menu item එකක් ගත් විට
එහි පළමු 8 bytes මගින් properties පෙන්නුම් කරයි. properties පහත ආකාර විය හැක.
MFT_STRING
මෙහි අඩංගු වන්නේ string එකක් බව කියවේ.

MFT_SEPARATOR
මෙම 8 bytes හි 7 වන byte එක 0x08 ලෙස ඇත්නම් මෙය separator එකක් බව කියවේ.

MFT_RADIOCHECK
මෙහි 7 වන byte එක 0x02 ලෙස ඇත්නම් menu item කිහිපයක් අතුරින් එක් item එකක් පමණක් තෝරා ගත හැකි සේ සැකසේ.

MFT_RIGHTORDER
මෙහි 7 වන byte එක 0x20 ලෙස ඇත්නම් එම ස්ථානයේ සි‍ට එකම level එකෙහි ඉදිරියට ඇති menu items දකුණු කෙලවරේ සිට සැකසේ.

MFT_RIGHTJUSTIFY
මෙහි 7 වන byte එක 0x40 ලෙස ඇත්නම් menu bar එකෙහි එම ස්ථානයේ සි‍ට ඉදිරියට ඇති menu items දකුණු කෙලවරේ සිට සැකසේ.

MFT_MENUBARBREAK
මෙහි 8 වන byte එක 0x20 ලෙස ඇත්නම් menu bar එක දෙකකට වෙන් වේ.

MFT_MENUBREAK
මෙහි 8 වන byte එක 0x40 ලෙස ඇත්නම් menu එක දෙකකට වෙන් වේ.

MFS_DEFAULT
3 වන byte එක 0x10 ලෙස ඇත්නම් select වී තිබිය යුතු menu item එක දක්වා ඇත.

MFS_CHECKED
4 වන byte එක 0x08 ලෙස ඇත්නම් මෙහි checked = true ලෙස සැකසේ.

MFS_ENABLED
මෙමගින් menu item එක enable බව කියවේ.

MFS_GRAYED
4 වන byte එක 0x03 ලෙස ඇත්නම් එම menu item එක disable බව කියවේ.

properties වලින් පසුව ඇති 4 bytes මගින් menu item ID එක දැක්වේ.
ඉන් පසු ඇති 2 bytes මගින් attributes දක්වා ඇත. මෙය bit ආකාරයෙන් ගත් විට 9 වැනි bit එක 1 ලෙස ඇත්නම් එම menu item එක එම level එකෙහි අවසන් menu item එක වේ. එසේම 16 වන bit එක 1 ලෙස ඇත්නම් එම ස්ථානයෙන් sub menu එකක් ආරම්භ වේ.
ඉන් පසුව ඇත්තේ menu item text එක වේ. එය 2 bytes බැගින් 0x0000 හමු වන තෙක් කියවිය යුතුය.
අදාල menu item එක sub menu එකක ආරම්භක ස්ථානයක් නම් menu text එකට පසුව bytes 4 ක් 0x00000000 ලෙස තැබිය යුතුය. ඉන් පසුව file alignment එකට අදාල bytes ප්‍රමානය 0x00 ලෙස තැබිය යුතුය.

අදට ලියන එක මෙතනින් නවත්වනවා. ආයෙමත් කොටසක් ලගදීම ලියනවා.

සිංහලෙන් win32 Portable Executable format - part 6

2009-10-26T16:58:00.082+05:30

ගිය සතියෙ ලිව්වෙ Import table එක ගැනයි. මේ සතියෙ ලියන්නෙ Resource table එක ගැනයි. මේක ප්‍රමානයෙන් විශාල table එකක්. ඒක හින්ද කොටස් කීපයකට ලියන්න වෙනවා.

Resources (IMAGE_RESOURCE_DIRECTORY)

මෙහි ඇත්තේ dialog boxes, menus, icons වැනි resources වේ. මෙම කොටස පහසුවෙන් වෙනස් කිරීමක් කල හැක. මෙහි GUI සම්බන්ධ කොටස් ඇත. මෙය .rsrc යන section එක තුල තිබේ. මෙම section එක ආරම්භක ස්ථානය සෙවීමට වෙනත් sections ආරම්භ වන ස්ථාන සොයන ආකාරයට කල නොහැක. මෙය ආරම්භ වනුයේ IMAGE_SECTION_HEADER හි .rsrc යටතේ ඇති PointerToRowData හි ඇති offset එකෙන් වේ. මෙම section එකෙහි IMAGE_SCN_CNT_INITIALIZED_DATA හා IMAGE_SCN_MEM_READ යන්න 1 ලෙස සටහන්ව තිබිය යුතුය.

7-Zip File Manager මගින් Excutable එකක Sections බලා ගත හැක. එක් එක් Sections හි Properties ලබා ගැනීමෙන් ඒවායේ අමතර විස්තරද ලබා ගත හැක.

මෙහි resources තිබෙන ආකාරය tree එකක් ආකාරයෙන් දැක්විය හැක.

එහි root එක RT_CURSOR, RT_BITMAP, RT_ICON වැනි කොටස් වලට වෙන් කල හැක. එක් කොටසක resources කීපයක් තිබිය හැක. පසුව එම resources විශේෂිත අංකයකින් හෝ නමකින් හදුන්වයි. එම resouces, languages එකකින් හෝ කීපයකින් තිබිය හැක. language කීපයකින් තිබෙන resources, win 95 තුලදී ක්‍රියාත්මක නොවේ.
resources පහත ආකාරයෙන් අංක කර ඇත.

0x00000001	RT_CURSOR
0x00000002	RT_BITMAP
0x00000003	RT_ICON
0x00000004	RT_MENU
0x00000005	RT_DIALOG
0x00000006	RT_STRING
0x00000007	RT_FONTDIR
0x00000008	RT_FONT
0x00000009	RT_ACCELERATOR
0x0000000A	RT_RCDATA
0x0000000B	RT_MESSAGETABLE
0x0000000C	RT_CURSORGROUP
0x0000000E	RT_ICONGROUP
0x00000010	RT_VERSIONINFO

වෙනත් අංකයක් ඇත්නම් එය අංකයේ නමින්ම හදුන්වයි. ඒවා custom resources වේ.
පහත රූප සටහනෙහි දක්වා ඇත්තේ shell32.dll හි resources වේ. මෙහි AVI, REGINST, TYPELIB, UIFILE, 23, 24 ලෙස ඇත්තේ custom resources වේ.

මෙහි 1033 ලෙස ඇත්තේ languages ID එක වේ.
1033 = 0x00000409 = en-us, English (United States)

languages පහත ආකාරයෙන් අංක කර ඇත.

0x00000436	af	Afrikaans
0x0000041C	sq	Albanian
0x00000001	ar	Arabic
0x00000401	ar-sa	Arabic (Saudi Arabia)
0x00000801	ar-iq	Arabic (Iraq)
0x00000C01	ar-eg	Arabic (Egypt)
0x00001001	ar-ly	Arabic (Libya)
0x00001401	ar-dz	Arabic (Algeria)
0x00001801	ar-ma	Arabic (Morocco)
0x00001C01	ar-tn	Arabic (Tunisia)
0x00002001	ar-om	Arabic (Oman)
0x00002401	ar-ye	Arabic (Yemen)
0x00002801	ar-sy	Arabic (Syria)
0x00002C01	ar-jo	Arabic (Jordan)
0x00003001	ar-lb	Arabic (Lebanon)
0x00003401	ar-kw	Arabic (Kuwait)
0x00003801	ar-ae	Arabic (U.A.E.)
0x00003C01	ar-bh	Arabic (Bahrain)
0x00004001	ar-qa	Arabic (Qatar)
0x0000042D	eu	Basque
0x00000402	bg	Bulgarian
0x00000423	be	Belarusian
0x00000403	ca	Catalan
0x00000004	zh	Chinese
0x00000404	zh-tw	Chinese (Taiwan)
0x00000804	zh-cn	Chinese (China)
0x00000C04	zh-hk	Chinese (Hong Kong SAR)
0x00001004	zh-sg	Chinese (Singapore)
0x0000041A	hr	Croatian
0x00000405	cs	Czech
0x00000406	da	Danish
0x00000413	nl	Dutch (Netherlands)
0x00000813	nl-be	Dutch (Belgium)
0x00000009	en	English
0x00000409	en-us	English (United States)
0x00000809	en-gb	English (United Kingdom)
0x00000C09	en-au	English (Australia)
0x00001009	en-ca	English (Canada)
0x00001409	en-nz	English (New Zealand)
0x00001809	en-ie	English (Ireland)
0x00001C09	en-za	English (South Africa)
0x00002009	en-jm	English (Jamaica)
0x00002809	en-bz	English (Belize)
0x00002C09	en-tt	English (Trinidad)
0x00000425	et	Estonian
0x00000438	fo	Faeroese
0x00000429	fa	Farsi
0x0000040B	fi	Finnish
0x0000040C	fr	French (France)
0x0000080C	fr-be	French (Belgium)
0x00000C0C	fr-ca	French (Canada)
0x0000100C	fr-ch	French (Switzerland)
0x0000140C	fr-lu	French (Luxembourg)
0x0000043C	gd	Gaelic
0x00000407	de	German (Germany)
0x00000807	de-ch	German (Switzerland)
0x00000C07	de-at	German (Austria)
0x00001007	de-lu	German (Luxembourg)
0x00001407	de-li	German (Liechtenstein)
0x00000408	el	Greek
0x0000040D	he	Hebrew
0x00000439	hi	Hindi
0x0000040E	hu	Hungarian
0x0000040F	is	Icelandic
0x00000421	in	Indonesian
0x00000410	it	Italian (Italy)
0x00000810	it-ch	Italian (Switzerland)
0x00000411	ja	Japanese
0x00000412	ko	Korean
0x00000426	lv	Latvian
0x00000427	lt	Lithuanian
0x0000042F	mk	FYRO Macedonian
0x0000043E	ms	Malay (Malaysia)
0x0000043A	mt	Maltese
0x00000414	no	Norwegian (Bokmal)
0x00000814	no	Norwegian (Nynorsk)
0x00000415	pl	Polish
0x00000416	pt-br	Portuguese (Brazil)
0x00000816	pt	Portuguese (Portugal)
0x00000417	rm	Rhaeto-Romanic
0x00000418	ro	Romanian
0x00000818	ro-mo	Romanian (Moldova)
0x00000419	ru	Russian
0x00000819	ru-mo	Russian (Moldova)
0x00000C1A	sr	Serbian (Cyrillic)
0x0000081A	sr	Serbian (Latin)
0x0000041B	sk	Slovak
0x00000424	sl	Slovenian
0x0000042E	sb	Sorbian
0x0000040A	es	Spanish (Traditional Sort)
0x0000080A	es-mx	Spanish (Mexico)
0x00000C0A	es	Spanish (International Sort)
0x0000100A	es-gt	Spanish (Guatemala)
0x0000140A	es-cr	Spanish (Costa Rica)
0x0000180A	es-pa	Spanish (Panama)
0x00001C0A	es-do	Spanish (Dominican Republic)
0x0000200A	es-ve	Spanish (Venezuela)
0x0000240A	es-co	Spanish (Colombia)
0x0000280A	es-pe	Spanish (Peru)
0x00002C0A	es-ar	Spanish (Argentina)
0x0000300A	es-ec	Spanish (Ecuador)
0x0000340A	es-cl	Spanish (Chile)
0x0000380A	es-uy	Spanish (Uruguay)
0x00003C0A	es-py	Spanish (Paraguay)
0x0000400A	es-bo	Spanish (Bolivia)
0x0000440A	es-sv	Spanish (El Salvador)
0x0000480A	es-hn	Spanish (Honduras)
0x00004C0A	es-ni	Spanish (Nicaragua)
0x0000500A	es-pr	Spanish (Puerto Rico)
0x00000430	sx	Sutu
0x0000041D	sv	Swedish
0x0000081D	sv-fi	Swedish (Finland)
0x0000041E	th	Thai
0x00000431	ts	Tsonga
0x00000432	tn	Tswana
0x0000041F	tr	Turkish
0x00000422	uk	Ukrainian
0x00000420	ur	Urdu
0x0000042A	vi	Vietnamese
0x00000434	xh	Xhosa
0x0000043D	ji	Yiddish
0x00000435	zu	Zulu

වෙනත් languages ID ද තිබිය හැක. පරිගනකයේ ඇති languages බලා ගැනීමට පහත command එක command prompt එකෙහි type කරන්න.

reg query hklm\SOFTWARE\Classes\MIME\Database\Rfc1766 /s >> c:\langID.txt

එවිට c:\ හි langID.txt නමින් file එකක් සෑදේ. එහි language ID සමග language name එක තිබේ.

IMAGE_RESOURCE_DIRECTORY format

මෙය ප්‍රධාන කොටස් 5 කට වෙන් කල හැක.

Resource Directory Tables
Resource Directory Entries
Resource Directory Strings
Resource Data Description
Resource Data

Resource Directory Tables

මෙහි විශාලත්වය 16 bytes වේ. මෙය කොටස් 6 කට වෙන් කෙරේ.

typedef struct _IMAGE_RESOURCE_DIRECTORY {
    DWORD   Characteristics;
    DWORD   TimeDateStamp;
    WORD    MajorVersion;
    WORD    MinorVersion;
    WORD    NumberOfNamedEntries;
    WORD    NumberOfIdEntries;
} IMAGE_RESOURCE_DIRECTORY, *PIMAGE_RESOURCE_DIRECTORY;

Characteristics
භාවිතා නොවේ. 0x00000000 යන අගයෙහි පවතී.

TimeDateStamp
resource table එක නිර්මාණය කල දිනය හා වේලාව දක්වා ඇත. මෙහි 0x00000000 යන අගයද තිබිය හැක.

MajorVersion හා MinorVersion
resource table හි version එක ඇත.

NumberOfNamedEntries
string මගින් හදුන්වා ඇති resource ගනන දක්වා ඇත.

NumberOfIdEntries‍
integer මගින් හදුන්වා ඇති resource ගනන දක්වා ඇත.

මෙහි NumberOfNamedEntries+NumberOfIdEntries‍ මගින් මෙහි ඇති මුළු resources ගනන දක්වා ඇත.

Resource Directory Entries

මෙය array එකක් ලෙස ගත හැක. එහි මුළු resources ගනනට සමාන කොටස් ප්‍රමාණයක් තිබේ. එක් කොටසක විශාලත්වය 8 bytes වේ. එහි එක් කොටසක් පහත ආකාරයට වෙන් කල හැක.

typedef struct _IMAGE_RESOURCE_DIRECTORY_ENTRY {
    union {
        struct {
            DWORD NameOffset:31;
            DWORD NameIsString:1;
        };
        DWORD   Name;
        WORD    Id;
    };
    union {
        DWORD   OffsetToData;
        struct {
            DWORD   OffsetToDirectory:31;
            DWORD   DataIsDirectory:1;
        };
    };
} IMAGE_RESOURCE_DIRECTORY_ENTRY, *PIMAGE_RESOURCE_DIRECTORY_ENTRY;

දෙවන 32 bits ප්‍රමාණය ගත් විට එහි පළමු bit එක 1 ලෙස ඇත්නම් ඉතිරි 31 bits ප්‍රමාණයෙන් දැක්වෙන්නේ data ඇති sub directory එකකට offset එකකි. එවිට පළමු 32 bits ප්‍රමාණයේ, එහි පළමු bit එක 1 ලෙස ඇත්නම් අනෙක් 31 bits මගින් දැක්වෙන්නේ resource type එකට අදාල Name එකෙහි offset එක වේ. පළමු bit එක 0 ලෙස ඇත්නම් අනෙක් 31 bits මගින් දැක්වෙන්නේ resource ID එක වේ. resource ID ඉහතින් දක්වා ඇත.

සැ.යු. මෙහිදී file offset එක ගනනය කිරීමට section එකෙහි ආරම්භක offset එකට අදාල අගය එකතු කල යුතුය.

උදා:- shell32.dll හි .rsrc section එකෙහි ආරම්භක offset එක 0x00205400 වේ. එහි පළමු resource type එකට අදාල මුල් 32 bits 0x8001A3F0 ලෙස ඇත. එවිට එහි resource type එකට අදාල Name එකෙහි offset එක

0x00205400 + 0x0001A3F0 = 0x0021F7F0

මෙම names තිබෙන්නේ Resource Directory Strings යන කොටසෙහි වේ.

මෙහි sub directory එකට ඇති offset එක හරහා ගිය වි‍ට, එය නැවතත් Resource Directory Tables හි ආකාරයේ structure එකකට පැමිණේ. මෙම sub directories වල Characteristics,TimeDateStamp, MajorVersion, MinorVersion යන ඒවා 0 යන අගයෙහි පවතී.

එසේම

දෙවන 32 bits ප්‍රමාණයේ එහි පළමු bit එක 0 ලෙස ඇත්නම් ඉතිරි ප්‍රමාණයෙන් දැක්වෙන්නේ data සදහා offset එකකට ඇති offset එකකි. එය පිහිටා ඇත්තේ Resource Data Description තුලය.

තවද මෙවිට පළමු 32 bits ප්‍රමාණයෙන් දැක්වෙන්නේ resource එකට අදාල language ID එක වේ. language IDs ඉහත දක්වා ඇත.

Resource Directory Strings

මෙහි ඇත්තේ Unicode strings වේ. එය මෙලෙස හැදින්විය හැක.

typedef struct _IMAGE_RESOURCE_DIR_STRING_U {
    WORD    Length;
    WCHAR   NameString[ 1 ];
} IMAGE_RESOURCE_DIR_STRING_U, *PIMAGE_RESOURCE_DIR_STRING_U;

මෙහි string එක කියවීමේදී length එකට සමාන අකුරු ප්‍රමාණයක් කියවිය යුතුය.

Resource Data Description

මෙහි data තිබෙන ස්ථාන සදහා offset එක, එහි විශාලත්වය වැනි දත්ත තිබේ. එය පහත ආකාරයට දැක්විය හැක.

typedef struct _IMAGE_RESOURCE_DATA_ENTRY {
    DWORD   OffsetToData;
    DWORD   Size;
    DWORD   CodePage;
    DWORD   Reserved;
} IMAGE_RESOURCE_DATA_ENTRY, *PIMAGE_RESOURCE_DATA_ENTRY;

OffsetToData
මෙමගින් data ඇති ස්ථානයේ offset එක ඇත.
මෙමගින් file offset එක ලබා ගැනීමට පහත ආකාරයට කල යුතුය.

file offset = data_offset - [.rsrc].VirtualAddress + [.rsrc].PointerToRowData

උදා:- shell32.dll හි AVI sub directory හි resource ID එක 150 වන resource එකෙහි data_offset එක 0x00011870 වේ. .rsrc හි VirtualAddress එක 0x00219000 වේ. .rsrc හි PointerToRowData එක 0x00205400 වේ. එවිට එහි

‍file offset = 0x003A6460 - 0x00219000 + 0x00205400
= 0x00392860

Size
මෙහි කියවිය යුතු data හි විශාලත්වය දක්වා ඇත.

CodePage
decode කිරීම් සදහා යොදා ගනී. බොහෝ අවස්ථාවල 0x00000000 යන අගයෙහි පවතී.

Reserved
0x00000000 යන අගයෙහි පවතී.

අදට ලිව්ව ඇති. මීලග කොටසින් Resource directory එක ගැන වැඩි දුරටත් ලියනවා.

සිංහලෙන් win32 Portable Executable format - part 5

2009-10-13T10:20:00.028+05:30

මුලින්ම පසුගිය කලාපයේ සිදු වූ අතපසු වීමක් නිවැරැදි කල යුතුයි. ගිය වර කලාපයේ DLL Name RVA සම්බන්ධ පින්තූර සටහන යෙදීමේදී අතපසු වීමක් සිදු වී ඇත. එය නිවැරැදි කිරීමක් සිදු කර ඇත.
මේ සතියේ ලිවීමට ඇත්තේ Import table එක ගැනයි.

Imported symbols
මෙම කොටස සෑම PE එකකම වාගේ දක්නට ඇත. මෙහි දැක්වෙනුයේ PE එක ක්‍රියාත්මක වීමට අවශ්‍ය නමුත් වෙනත් object files වලින් ලබා ගත යුතු functions වල list එකකි. වෙනත් අයුරකින් කිවහොත් PE එකට අවශ්‍ය dependencies වේ. මෙම functions, object file එකේ export table හි අඩංගු ඒවා වේ. මෙම table එක IMAGE_DIRECTORY_ENTRY_IMPORT ලෙස IMAGE_DATA_DIRECTORY හි හදුන්වා ඇත. මේ හා සම්බන්ධ වන data directory කීපයක් ඇත.

IMAGE_DIRECTORY_ENTRY_EXPORT
IMAGE_DIRECTORY_ENTRY_RESOURCE
IMAGE_DIRECTORY_ENTRY_BASERELOC
IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT
IMAGE_DIRECTORY_ENTRY_IAT

* මෙහි initialized data තිබීම හා readable වීම අත්‍යාවශ්‍ය වේ.

මෙයද array එකක් ආකාරයෙන් පවතී. මෙම array එකෙහි විශාලත්වය import කරන dll ගනනට සමාන වේ. මෙම array එක IMAGE_IMPORT_DESCRIPTOR හි array එකකි. එහි එක් කොටසක් ගත් විට, එය කොටස් 5 කට වෙන් කළ හැක. array එකෙහි අවසාන කොටස null වේ.


typedef struct _IMAGE_IMPORT_DESCRIPTOR {
union {
DWORD   Characteristics;
DWORD   OriginalFirstThunk;
};
DWORD   TimeDateStamp;
DWORD   ForwarderChain;
DWORD   Name;
DWORD   FirstThunk;
} IMAGE_IMPORT_DESCRIPTOR;
typedef IMAGE_IMPORT_DESCRIPTOR UNALIGNED *PIMAGE_IMPORT_DESCRIPTOR;

OriginalFirstThunk
මෙහි සදහන් වනුයේ function names (IMAGE_IMPORT_BY_NAME) වලට තිබෙන RVA අඩංගු array එකකට තිබෙන RVA එකකි. function names පහත ආකාරයට ලබා ගත හැක.
මෙහි මුලින්ම තිබෙන්නේ Ordinal number (16 bits) එක වේ. පසුව 0x00 හමුවන තෙක් කියවීමෙන් function name එක ලබා ගත හැක.


typedef struct _IMAGE_IMPORT_BY_NAME {
WORD    Hint;
BYTE    Name[1];
} IMAGE_IMPORT_BY_NAME, *PIMAGE_IMPORT_BY_NAME;
typedef struct _IMAGE_THUNK_DATA32 {
union {
PBYTE  ForwarderString;
PDWORD Function;
DWORD Ordinal;
PIMAGE_IMPORT_BY_NAME  AddressOfData;
} u1;
} IMAGE_THUNK_DATA32;

TimeDateStamp
මෙය භාවිතා නොවේ. මෙය 0x00000000 හෝ 0x‍FFFFFFFF යන අගයන්හි පවතී.

ForwarderChain
මෙයද සාමාන්‍යයෙන් 0x‍FFFFFFFF යන අගයෙහි පවතී. නමුත් භාවිතා කරන අවස්ථාද තිබේ.

DLL Name RVA
DLL එකෙහි නම ඇති ස්ථානයේ RVA එක වේ.

Ordinal numbers, function names හා DLL Name පිහිටා ඇති ආකාරය

මෙහි

වර්ණයෙන් වට කර ඇති ප්‍රදේශයේ එක් Object එකක විස්තර ඇත.

වර්ණයෙන් වට කර ඇති ස්ථාන වල Ordinal number එකද,

වර්ණයෙන් වට කර ඇති ස්ථානයේ function name එකද ඇත. එසේ එක් Object file එකක් සදහා functions කීපයක් තිබිය හැක.

වර්ණයෙන් Object file name එක ඇත.

මෙහි Ordinal numbers, function names හෝ DLL Name එකක alignment එක 2 වේ. එම නිසා ඒවා ආරම්භ වනුයේ 2 හි ගුණාකාරයක් වන ‍file offset වලිනි. එම නිසා

වර්ණයෙන් ඇති කොටස් අත් හැර දමයි.

FirstThunk (IMAGE_THUNK_DATA)
මෙහි සදහන්ව ඇත්තේ import කළ යුතු function එකෙහි VA එක ඇති ස්ථානයේ RVA එක වේ. මෙය RAM එකට load වූවාට පසු සත්‍ය VA එක මෙයට replace වීමක් සිදු වේ. jmp [VA] මගින් dll එක හා සම්බන්ධ වේ. මෙම VA ඇත්තේ IMAGE_DIRECTORY_ENTRY_IAT යන table එකෙහි වේ.

Import කල යුතු function එකක විස්තර ලබා ගන්නා ආකාරය පහත දක්වා ඇත.

ඉහත රූප සටහනෙහි

වර්ණයෙන් ඇති line එක දිගේ ගිය විට Ordinal number හා function name එක ලබා ගත හැක.

වර්ණයෙන් ඇති line එක දිගේ ගිය විට Object file name එක ලබා ගත හැක.

වර්ණයෙන් ඇති line එක දිගේ ගිය විට import කළ යුතු function එකෙහි VA එක ලබා ගත හැක.
ලබා ගන්නා දත්ත පහත ආකාරයට දැක්විය හැක.

මෙම වගුවෙහි දැක්වෙනුයේ එක් එක් Object files වලින් import කල හැකි functions වල විස්තර වේ.

shell32.dll හි import table හි පිහිටීම පහත දක්වා ඇත.

‍ගිය සතියෙ ලියපු Export table සටහනේ, shell32.dll දී Export table හි පිහිටීමද මෙහි දක්වා ඇත.

Export table බලා ගත හැකි Application එකක් හා එහි Source code එක මෙතනින් Download කර ගත හැක.

Import table බලා ගත හැකි Application එකක් හා එහි Source code එක මෙතනින් Download කර ගත හැක.

අදට ලිව්වා ඇති. ලබන සතියේ ආයෙත් ලියනවා. ලබන සතියෙ ලියන්න තියෙන්නෙ Resource table එක ගැනයි.

සිංහලෙන් win32 Portable Executable format - part 4

2009-09-30T10:35:00.065+05:30

පසුගිය කලාපයේ අප සාකච්චා කලේ IMAGE_OPTIONAL_HEADER ගැනයි. මීලගට අපට ඇත්තේ Image Section headers යන කොටස විස්තර කිරීමටයි. නමුත් ඊට ප්‍රථම Relative Virtual Address(RVA) හා Virtual Address(VA) පිළිබදව විස්තර කිරීමක් සිදු කල යුතුය.

RVA හා VA
RVA යනු PE එක RAM එකට load වූ පසු එහි ආරම්භක ස්ථානයට සාපේක්ෂ address එකයි. VA යනු එහි සත්‍ය address එකයි. එය පහත ආකාරයට දැක්විය හැක.

VA = RVA + PE එක RAM එකෙහි ආරම්භක ස්ථානය

RVA මගින් file offset එක සොයන ආකාරය

උදා: calc.exe හි Import table හි RVA = 0x00012B80 වේ. .text section හි pointer to row data =0x00000400, virtual address = 0x00001000 හා virtual size = 0x000126B0 වේ.
තවද මෙහි SectionAlignment = 0x00001000 හා SizeOfHeaders = 0x00000400 වේ.

RVA යනු RAM එකේදී සාපේක්ෂ address එකයි. file එකේදී සෙවීමට නම් පළමුව එය අයත් section එක සොයා ගත යුතුය. .text හි පරාසය 0x00001000 - 0x000136B0 වේ. එම නිසා import table අයත් වනුයේ .text section එකටය. එවිට,

file offset = RVA - Section.VirtualAddress + Section.FileOffset
ලෙස විය යුතුය.

මෙහි Section යනු, RVA එක අයත් Section එක වේ.
එම නිසා Import table හි ආරම්භක file offset එක

= 0x00012B80 - 0x00001000 + 0x00000400
= 0x00011F80

ට සමාන වේ.

සෑම අවස්ථාවකම වාගේ පළමු වන section එක RAM එකෙහි ආරම්භ වනුයේ SectionAlignment එක RVA වන address එකේදීය (FileAlignment නොමැතිව ගත් විට headers හි විශාලත්වය(=0x000002DE), SectionAlignment එකට වඩා කුඩා නිසා.). එලෙසම file එකේදී පළමු section එක ආරම්භ වන ස්ථානය SizeOfHeaders යන අගයට සමාන වේ.

මෙතෙක් අප සාකච්චා කල කොටස් වල රූපමය සටහනක් පහත දක්වා ඇත.

Image Section headers
මීලගට අප නැවතත් Image Section headers ගැන විස්තර කරමු. මෙය ප්‍රධාන කොටස් 2 කට වෙන් කරන්න පුළුවන්.

1. IMAGE_SECTION_HEADER
2. IMAGE_SECTION

IMAGE_SECTION_HEADER
පළමුව IMAGE_SECTION_HEADER පිළිබදව සලකා බලමු. මෙය තවත් කොටස් වලට බෙදේ. එම වෙන් කෙරෙන කොටස් ගනන PE එකෙහි තිබෙන section ගනනට සමාන වේ. එම එක් එක් කොටස් තවත් කොටස් 10 කට වෙන් කෙරේ.

Name
VirtualSize
VirtualAddress
SizeOfRowData
PointerToRowData
PointerToRelocations
PointerToLineNumbers
NumberOfRelocations
NumberOfLineNumbers
Characteristics

Name
මෙහි සදහන්ව ඇත්තේ section එකෙහි නම වේ. එය UTF-8 string එකකි.

VirtualSize
RAM එකට load වූවාට පසු section එකෙහි size එක මෙමගින් දක්වා ඇත.

VirtualAddress
RAM එකට load වූවාට පසු section එකෙහි ImageBase එකට සාපේක්ෂ ආරම්භක address එක මෙමගින් දක්වා ඇත.

SizeOfRowData
file එකේදී section එකේ විශාලත්වය මෙමගින් දක්වා ඇත. එය VirtualSize එකට වඩා විශාල විය යුතුය.

calc.exe හි .text section හි පිහිටීම

PointerToRowData
මෙමගින් section එකෙහි ආරම්භක file offset එක දක්වා ඇත.

PointerToRelocations
Relocations table හි file offset එක දක්වා ඇත. මෙය object files සදහා පමණක් වලංගු වේ.

PointerToLineNumbers
line number information සදහා file offset එක දක්වා ඇත. මෙයද object files සදහා පමණක් වලංගු වේ.

NumberOfRelocations
Relocations ගනන දක්වා ඇත.

NumberOfLineNumbers
line number informations ගනන දක්වා ඇත.

Characteristics
මෙමගින් අදාල section හි Characteristics විස්තර කරයි. පළමුව මෙය පහත ආකාරයට වෙන් කර ගත යුතුය.

bit 0 (IMAGE_SCN_MEM_WRITE) - The section can be written to.
bit 1 (IMAGE_SCN_MEM_READ) - The section can be read.
bit 2 (IMAGE_SCN_MEM_EXECUTE) - The section can be executed as code.
bit 3 (IMAGE_SCN_MEM_SHARED) - The section can be shared in memory.
bit 4 (IMAGE_SCN_MEM_NOT_PAGED) - The section is not pageable.
bit 5 (IMAGE_SCN_MEM_NOT_CACHED) - The section cannot be cached.
bit 6 (IMAGE_SCN_MEM_DISCARDABLE) - The section can be discarded as needed.
bit 7 (IMAGE_SCN_LNK_NRELOC_OVFL) - The section contains extended relocations.
ASCII_Code(1st 4 bits of byte 2) == 1 (IMAGE_SCN_ALIGN_1BYTE) - Align data on a 1-byte boundary. Valid only for object files.
ASCII_Code(1st 4 bits of byte 2) == 2 (IMAGE_SCN_ALIGN_2BYTES) - Align data on a 2-bytes boundary. Valid only for object files.
ASCII_Code(1st 4 bits of byte 2) == 3 (IMAGE_SCN_ALIGN_4BYTES) - Align data on a 4-bytes boundary. Valid only for object files.
ASCII_Code(1st 4 bits of byte 2) == 4 (IMAGE_SCN_ALIGN_8BYTES) - Align data on a 8-bytes boundary. Valid only for object files.
ASCII_Code(1st 4 bits of byte 2) == 5 (IMAGE_SCN_ALIGN_16BYTES) - Align data on a 16-bytes boundary. Valid only for object files.
ASCII_Code(1st 4 bits of byte 2) == 6 (IMAGE_SCN_ALIGN_32BYTES) - Align data on a 32-bytes boundary. Valid only for object files.
ASCII_Code(1st 4 bits of byte 2) == 7 (IMAGE_SCN_ALIGN_64BYTES) - Align data on a 64-bytes boundary. Valid only for object files.
ASCII_Code(1st 4 bits of byte 2) == 8 (IMAGE_SCN_ALIGN_128BYTES) - Align data on a 128-bytes boundary. Valid only for object files.
ASCII_Code(1st 4 bits of byte 2) == 9 (IMAGE_SCN_ALIGN_256BYTES) - Align data on a 256-bytes boundary. Valid only for object files.
ASCII_Code(1st 4 bits of byte 2) == 10 (IMAGE_SCN_ALIGN_512BYTES) - Align data on a 512-bytes boundary. Valid only for object files.
ASCII_Code(1st 4 bits of byte 2) == 11 (IMAGE_SCN_ALIGN_1024BYTES) - Align data on a 1024-bytes boundary. Valid only for object files.
ASCII_Code(1st 4 bits of byte 2) == 12 (IMAGE_SCN_ALIGN_2048BYTES) - Align data on a 2048-bytes boundary. Valid only for object files.
ASCII_Code(1st 4 bits of byte 2) == 13 (IMAGE_SCN_ALIGN_4096BYTES) - Align data on a 4096-bytes boundary. Valid only for object files.
ASCII_Code(1st 4 bits of byte 2) == 14 (IMAGE_SCN_ALIGN_8192BYTES) - Align data on a 8192-bytes boundary. Valid only for object files.
bit 12 (IMAGE_SCN_MEM_LOCKED) - Reserved for future use.
bit 13 (IMAGE_SCN_MEM_16BIT) - Reserved for future use.
bit 14 (IMAGE_SCN_MEM_PURGEABLE) - Reserved for future use.
bit 15 (IMAGE_SCN_MEM_SYSHEAP) - Reserved for future use.
bit 16 (IMAGE_SCN_MEM_FARDATA) - The section contains data referenced through the global pointer (GP).
bit 17 (IMAGE_SCN_NO_DEFER_SPEC_EXC) - Not Used.
bit 18 - Not Used.
bit 19 (IMAGE_SCN_LNK_COMDAT) - The section contains COMDAT data.
bit 20 (IMAGE_SCN_LNK_REMOVE) - The section will not become part of the image.
bit 21 (IMAGE_SCN_TYPE_OVER) - Reserved for future use.
bit 22 (IMAGE_SCN_LNK_INFO) - The section contains comments or other information.
bit 23 (IMAGE_SCN_LNK_OTHER) - Reserved for future use.
bit 24 (IMAGE_SCN_CNT_UNINITIALIZED_DATA) - The section contains uninitialized data.
bit 25 (IMAGE_SCN_CNT_INITIALIZED_DATA) - The section contains initialized data.
bit 26 (IMAGE_SCN_CNT_CODE) - The section contains executable code.
bit 27 (IMAGE_SCN_TYPE_COPY) - Reserved for future use.
bit 28 (IMAGE_SCN_TYPE_NO_PAD) - The section should not be padded to the next boundary.
bit 29 (IMAGE_SCN_TYPE_GROUP) - Reserved for future use.
bit 30 (IMAGE_SCN_TYPE_NOLOAD) - Reserved for future use.
bit 31 (IMAGE_SCN_TYPE_DSECT) - Reserved for future use.

උදා: 0x60000020 ලෙස ඇත්නම්,
[The section can be read.],[The section can be executed as code.],[The section contains executable code.] යන Characteristics ඇත.

calc.exe හි IMAGE_SECTION_HEADER පිහිටීම

මීලගට ඇත්තේ IMAGE_SECTION යන කොටසයි.

IMAGE_SECTION
මෙහි PE හි ක්‍රියාකාරීත්වයට අදාල Instructions තිබෙන්නේ මෙය තුලය.
මෙය පහත දැක්වෙන ලෙස section හා tables වලට වෙන් කල හැක.

code section
data section
bss section
Copyright (IMAGE_DIRECTORY_ENTRY_COPYRIGHT)
Exported symbols (IMAGE_DIRECTORY_ENTRY_EXPORT)
Imported symbols (IMAGE_DIRECTORY_ENTRY_IMPORT)
Resources (IMAGE_DIRECTORY_ENTRY_RESOURCE)
Relocations (IMAGE_DIRECTORY_ENTRY_BASERELOC)

code section
මෙහි execute කරන code එක තිබේ. මෙමගින් execute කරීම ආරම්භ කිරීමට නම් අවම වශයෙන් පහත කරුනු තෘප්ත විය යුතුය.

IMAGE_SCN_CNT_CODE, IMAGE_SCN_MEM_EXECUTE හා IMAGE_SCN_MEM_READ යන ඒවා 1 ලෙස තිබිය යුතුය.
AddressOfEntryPoint මෙම code එක තුල යම් ස්ථානයකට සම්බන්ධ කර තිබිය යුතුය.

බොහෝ අවස්ථා වලදී BaseOfCode මගින් මෙහි ආරම්භක ස්ථානය දක්වා ඇත. මෙහි .text, .code වැනි section අඩංගුව තිබේ. මෙය Disassemble කරන ආකාරය පසුව විස්තර කරන්නෙමි.

data section
මෙහි initialized static variables අඩංගුව ඇත.
උදා: static int b = 8;
මෙහි IMAGE_SCN_CNT_INITIALIZED_DATA, IMAGE_SCN_MEM_READ හා IMAGE_SCN_MEM_WRITE යන ඒවා 1 ලෙස සටහන්ව තිබිය යුතුය. final ලෙස හදුන්වා ඇත්නම් IMAGE_SCN_MEM_WRITE යන්න 0 ලෙස තිබේ(.rdata තුලදී). මෙය BaseOfData යන ස්ථානයෙන් ආරම්භ වේ. එහි විශාලත්වය SizeOfInitializedData මගින් දක්වා ඇත. මෙහි .data, .edata වැනි section අඩංගුව තිබේ.

bss section
මෙහි uninitialized static variables අඩංගුව ඇත.

මෙහි IMAGE_SCN_CNT_UNINITIALIZED_DATA, IMAGE_SCN_MEM_READ හා IMAGE_SCN_MEM_WRITE යන ඒවා 1 ලෙස සටහන්ව තිබිය යුතුය.

PointerToRawData මගින් ආරම්භක ස්ථානය දක්වා ඇත. SizeOfUninitializedData මගින් විශාලත්වය දක්වා ඇත. මෙහි .bss වැනි section අඩංගුව තිබේ.

Copyright
මෙය ඉතා කුඩා කොටසකි. මෙහි Copyrights පිළිබදව හැදින්වීමක් වාක්‍යක් ලෙස ලියා ඇත. IMAGE_SCN_CNT_INITIALIZED_DATA යන්න 1 ලෙස තිබීම අවශ්‍ය වේ. මෙය .descr වැනි section එකක් තුල තිබේ.

Exported symbols
මෙය සාමාන්‍යයෙන් dll තුල දක්නට ලැබේ. මෙහි අඩංගු වනුයේ PE එක මගින් Export කළ හැකි funtions වල Entry point list එකකි. PE එකකට වෙනත් PE එකකින් funtions import කළ හැක. එසේ import කරනුයේ එහි export table හි ඇති funtions වේ.මෙම table එක IMAGE_DIRECTORY_ENTRY_EXPORT ලෙස IMAGE_DATA_DIRECTORY හි හදුන්වා ඇත. funtion එකක් සදහා properties වශයෙන් Name හා Name Ordinal පවතී. මෙම export table එක බොහෝ විට .edata section එක තුල තිබිය හැක. මෙහි initialized data තිබීම හා readable වීම අත්‍යාවශ්‍ය වේ. PE එකකට, funtion එකේ RVA සෙවීමට GetProcAddress() යන method එකෙන් run වීමේදී call කිරීම සිදු වේ. එමනිසා එය discardable නොවිය යුතුය.

මෙය කොටස් 11 කට වෙන් කෙරේ.


typedef struct _IMAGE_EXPORT_DIRECTORY {
DWORD   Characteristics;
DWORD   TimeDateStamp;
WORD    MajorVersion;
WORD    MinorVersion;
DWORD   Name;
DWORD   Base;
DWORD   NumberOfFunctions;
DWORD   NumberOfNames;
DWORD   AddressOfFunctions;
DWORD   AddressOfNames;
DWORD   AddressOfNameOrdinals;
} IMAGE_EXPORT_DIRECTORY, *PIMAGE_EXPORT_DIRECTORY;

Characteristics
මෙය භාවිතා නොකරන අතර 0x00000000 අගයෙහි පවතී.

TimeDateStamp
table එක නිර්මානය කළ දිනය හා වේලාව දක්වා ඇත.

MajorVersion හා MinorVersion මගින් version එක දැක්වූවද 0x0000 යන අගයෙහි පවතී.

DLL Name RVA
මෙහි DLL එකේ නම තිබෙන RVA එක ඇත. එම RVA එක ඔස්සේ ගිය විට පහත ආකාරයට දැක ගත හැක. එය 0-terminated ASCII string එකක් ලෙස ඇත. එය කියවීමේදී 0x00 යන අගය හමුවන තෙක් කියවිය යුතුය.

Ordinal Base
මෙමගින් දැක්වෙනුයේ array එකක ආරම්භක index එකට අදාල ordinal number එක වේ. windows kernel මගින් මෙම table එකෙහි export ordinal තබා ගනුයේ array එකක් ආකාරයෙනි. මෙය බොහෝ විට 1 ලෙස තිබේ.

NumberOfFunctions
export කරන funtions ගනන මෙයින් දක්වා ඇත. එකම name ordinal එකෙන් හා එකම name එකෙන් funtions කීපයක් export කළ හැක.

NumberOfNames
export කරන names ගනන මෙයින් දක්වා ඇත.

AddressOfFunctions

මෙහි තිබෙනුයේ funtions වල RVA list එක තිබෙන ස්ථානයේ RVA එකයි. මේ ඔස්සේ ගිය විට අපට ලැබෙනුයේ funtions, NumberOfFunctions ප්‍රමාණයකි. ඒවා array එකකට ඇතුලත් කර ගන්න. එම array එකෙහි තිබෙන RVA හරහා ගිය විට ඊට ආදාල funtion එක ලබා ගත හැක. එවිට එය පහත ආකාරයට දැක්විය හැක.

AddressOfNames
මෙයද ඉහත ආකාරයේම RVA list එකකට ඇති RVA එකකි. එම RVA හරහා ගිය විට ලැබෙනුයේ අදාල funtion එකෙහි name එක වේ.

AddressOfNameOrdinals
මෙයද ඉහත ආකාරයම වේ. මෙය හරහා ගිය විට ලැබෙනුයේ name ordinal එක වේ.
shell32.dll එක otherdll ලෙස හදුන්වා ඇත්නම් හා එහි name ordinal 0x0066 වන Activate_RunDLL නැමති funtion එකට call කිරීමට අවශ්‍ය නම්, otherdll.#66 ලෙස හෝ otherdll.Activate_RunDLL ලෙස call කළ හැක.

Function එකක් ගැන සම්පූර්ණ විස්තරයක් ලබා ගන්නා ආකාරය පහත දක්වා ඇත.

ඉහත දැක්වෙන රූප සටහනෙහි

වර්ණයෙන් ඇති line එක දිගේ ගිය විට name RVA එක හා name එක ලැබේ. එය පහත ආකාරයට වගුවකට ඇතුලත් කර ගන්න.
පසුව

වර්ණයෙන් ඇති line එක දිගේ ගිය විට Ordinal numbers ලැබේ. එයද වගුවට ඇතුලත් කර ගන්න.
එලෙසම

වර්ණයෙන් ඇති line එක දිගේ ගොස් function RVA හා offset එකද ඇතුලත් කරන්න.

	Name	Ordinal number	Function RVA	Function offset
Function 1	Activate_RunDLL	0x0066	0x00036F8F	0x0003638F
Function 2	AppCompat_RunDLL	0x0067	0x000F3876	0x000F2C76



Function n	shlwapi.PathGetDriveNumberW	0x028A	0x000EE2CA	0x000ED6CA

මෙම වගුවෙහි Row එකක් ගත් විට එහි අඩංගු වනුයේ export කළ හැකි එක් function එකක් ගැන විස්තර වේ.

මේ සතියට ලිව්ව ඇති. ආයෙත් ලබන සතියේ ලියනවා. මේ දවස්වල Assignment ගොඩ ගැහිලා. blog එක ලියන්න වෙලාවක් සොයා ගන්නත් අමාරුයි. ලබන සතියේ Import table ගැන ලියනවා.

සිංහලෙන් win32 Portable Executable format - part 3

2009-09-23T10:27:00.030+05:30

පසුගිය සටහනෙන් අප සාකච්චා කළේ IMAGE_NT_SIGNATURE හා IMAGE_FILE_HEADER ගැනයි. එය IMAGE_NT_HEADERS හි ප්‍රධාන කොටස් 3 න් 2 කි.
මීලගට ඇත්තේ තවත් ප්‍රධාන කොටසක් වන IMAGE_OPTIONAL_HEADER යන්නයි.මෙය තවත් කොටස් 31 කට වෙන් කල හැක. පහත දක්වා ඇත්තේ එයට අදාල source එක වේ.

typedef struct _IMAGE_DATA_DIRECTORY {
DWORD VirtualAddress;
DWORD Size;
} IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY;

#define IMAGE_NUMBEROF_DIRECTORY_ENTRIES 16

//
// Optional header format.
//

typedef struct _IMAGE_OPTIONAL_HEADER {
//
// Standard fields.
//

WORD Magic;
BYTE MajorLinkerVersion;
BYTE MinorLinkerVersion;
DWORD SizeOfCode;
DWORD SizeOfInitializedData;
DWORD SizeOfUninitializedData;
DWORD AddressOfEntryPoint;
DWORD BaseOfCode;
DWORD BaseOfData;

//
// NT additional fields.
//

DWORD ImageBase;
DWORD SectionAlignment;
DWORD FileAlignment;
WORD MajorOperatingSystemVersion;
WORD MinorOperatingSystemVersion;
WORD MajorImageVersion;
WORD MinorImageVersion;
WORD MajorSubsystemVersion;
WORD MinorSubsystemVersion;
DWORD Win32VersionValue;
DWORD SizeOfImage;
DWORD SizeOfHeaders;
DWORD CheckSum;
WORD Subsystem;
WORD DllCharacteristics;
DWORD SizeOfStackReserve;
DWORD SizeOfStackCommit;
DWORD SizeOfHeapReserve;
DWORD SizeOfHeapCommit;
DWORD LoaderFlags;
DWORD NumberOfRvaAndSizes;
IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];
} IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32;

මෙම පින්තූරයෙන් දක්වා ඇත්තේ calc.exe හි IMAGE_OPTIONAL_HEADER පිහිටා ඇති ආකාරය වේ.

1. Magic
මෙමගින් අදාල PE එක PE32 හෝ PE32+ ද යන වග බලා ගත හැක.
0x010B - PE32 Executable
0x020B - PE32+ Executable

2. MajorLinkerVersion හා
3. MinorLinkerVersion මගින් PE එක නිර්මානය කිරීමට යොදා ගත් linker එකෙහි version එක බලා ගත හැක.
උදා: MajorLinkerVersion - 0x07 හා MinorLinkerVersion - 0x00 නම්
linker version - 7.00

4. SizeOfCode
Code(text) section හි විශාලත්වය bytes වලින් දක්වා ඇත.

5. SizeOfInitializedData
Initialized data(data) section හි විශාලත්වය bytes වලින් දක්වා ඇත.

6. SizeOfUninitializedData
Uninitialized Data(bss) section හි විශාලත්වය bytes වලින් දක්වා ඇත.

7. AddressOfEntryPoint
මෙමගින් PE එක execute වීම ආරම්භක ස්ථානය දක්වා ඇත. මෙය exe එකක නම් main() එකත් dll එකක නම් LibMain() එකත් Driver file එකක නම් DriverEntry() යන ස්ථාන වේ. මෙය ImageBase එකට සාපේක්ෂ ස්ථානය වේ. මෙම කොටසින් පසුව Virtual address හා Relative Virtual Address පිළිබදව විස්තර කරනු ඇත.

8. BaseOfCode
මෙය ImageBase එකට සාපේක්ෂ code section හි ආරම්භක ස්ථානය වේ.

9. BaseOfData
මෙය ImageBase එකට සාපේක්ෂ data section හි ආරම්භක ස්ථානය වේ.

10. ImageBase
මෙමගින් PE එක memory එකට load විය යුතු ස්ථානය දක්වයි. එම ස්ථානය free space ‍නොමැති නම් ඉදිරියට free space ඇති ස්ථානයකට load වේ. මෙය 64k මගින් ගුණකර ගත යුතුය.

11. SectionAlignment
මෙමගින් Sections, memory එකට load වීමේදී පිහිටිය යුතු ආකාරය දක්වයි. load වන address එක මෙහි ගුණාකාරයක් විය යුතුය.
උදා: SectionAlignment - 0x00001000 නම්
පළමු section එකෙහි විශාලත්වය 75440 bytes හා එය load වූයේ 0x00101000 යන ස්ථානය‍ට යැයි සිතන්න.
එවිට දෙවන section එක load වනුයේ 0x00114000 යන ස්ථානයට වේ.

12. FileAlignment
මෙය ඉහත SectionAlignment මෙන්ම file එකෙහි තිබෙන ආකාරයයි. මෙය SectionAlignment එකට වඩා කුඩා හෝ සමා‍න වේ.

13. MajorOSVersion හා
14. MinorOSVersion මගින් linker version ලබා ගත් ආකාරයටම OS Version එක ලබා ගත හැකි වේ.

15. MajorImageVersion හා
16. MinorImageVersion මගින් Image Version එක ලබා ගත හැකි වේ.

17. MajorSubsystemVersion හා
18. MinorSubsystemVersion මගින් Subsystem Version(Win32 version හෝ the POSIX version) එක ලබා ගත හැකි වේ.

19. Win32VersionValue
මෙය 0x00000000 අගයෙහි පවතී.

20. SizeOfImage
මෙහි දක්වා ඇත්තේ PE එක memory එකට load වූ පසු ගන්නා මුළු ඉඩ ප්‍රමාණයයි.

21. SizeOfHeaders
මෙමගින් දක්වා ඇත්තේ MS-DOS Stub, PE header හා section headers සදහා ගන්නා ලද මුළු ඉඩ ප්‍රමාණයයි.

22. CheckSum
මෙහි ඇත්තේ NT version එක වේ. එය අවශ්‍ය වනුයේ NT Drivers සදහා පමණි. වෙනත් format සදහා මෙය පරීක්ෂා නොකරයි.

23. Subsystem
මෙම‍ PE එක run කිරීමට අවශ්‍ය subsystem එක දක්වා ඇත.
පහත අගයන් තිබිය හැක.

0x0000 (IMAGE_SUBSYSTEM_UNKNOWN) - An unknown subsystem
0x0001 (IMAGE_SUBSYSTEM_NATIVE) - Device drivers and native Windows processes
0x0002 (IMAGE_SUBSYSTEM_WINDOWS_GUI) - The Windows graphical user interface (GUI) subsystem
0x0003 (IMAGE_SUBSYSTEM_WINDOWS_CUI) - The Windows character subsystem
0x0005 (IMAGE_SUBSYSTEM_OS2_CUI) - The OS/2 character subsystem
0x0007 (IMAGE_SUBSYSTEM_POSIX_CUI) - The Posix character subsystem
0x0008 (IMAGE_SUBSYSTEM_NATIVE_WINDOWS) - Native Win9x driver
0x0009 (IMAGE_SUBSYSTEM_WINDOWS_CE_GUI) - Windows CE
0x000A - An Extensible Firmware Interface (EFI) application
0x000B - An EFI driver with boot services
0x000C - An EFI driver with run-time services
0x000D - An EFI ROM image
0x000E - XBOX

24. DLLCharacteristics
මෙය dll සදහා පමණක් වලංගු වේ. මෙමගින් dll එකෙහි Characteristics පෙන්වා දෙයි.
මෙයද bits වලට වෙන් කර ගත යුතුය. bit වලට 1 යන අගය තිබේ නම් පහත ගුණාංග තිබේ.

bit 0	- Terminal Server aware.
bit 1	- Not used.
bit 2	- A WDM driver.
bit 3	- Reserved, must be zero.
bit 4	- Do not bind the image.
bit 5	- Does not use structured exception (SE) handling. No SE handler may be called in this image.
bit 6	- Isolation aware, but do not isolate the image.
bit 7	- Image is NX compatible.
bit 8	- Code Integrity checks are enforced
bit 9	- DLL can be relocated at load time.
bit 10	- Not used.
bit 11	- Not used.
bit 12	- Reserved, must be zero.
bit 13	- Reserved, must be zero.
bit 14	- Reserved, must be zero.
bit 15	- Reserved, must be zero.

25. SizeOfStackReserve
PE එක සදහා අවශ්‍ය වන අමතර stack එකෙහි විශාලත්වය දක්වා ඇත.

26. SizeOfStackCommit
PE එක සදහා අවශ්‍ය වන stack එකෙහි විශාලත්වය දක්වා ඇත.

27. SizeOfHeapReserve
PE එක සදහා අවශ්‍ය වන අමතර heap එකෙහි විශාලත්වය දක්වා ඇත.

28. SizeOfHeapCommit
PE එක සදහා අවශ්‍ය වන heap එකෙහි විශාලත්වය දක්වා ඇත.

29. LoaderFlags
0x00000000 අගයෙහි පවතී.

30. NumberOfRvaAndSizes
Data directory වල address ගනනෙහි හා size ගනනෙහි එකතුව දක්වා ඇත.

31. IMAGE_DATA_DIRECTORY
මෙය තවත් කොටස් 32 කට වෙන් කරනු ලබයි. මෙය array එකක් ලෙස ගනී. එය පහත ආකාරයට දක්වයි.

IMAGE_DIRECTORY_ENTRY_EXPORT.VirtualAddress - Export Directory
IMAGE_DIRECTORY_ENTRY_EXPORT.Size
IMAGE_DIRECTORY_ENTRY_IMPORT.VirtualAddress - Import Directory
IMAGE_DIRECTORY_ENTRY_IMPORT.Size
IMAGE_DIRECTORY_ENTRY_RESOURCE.VirtualAddress - Resource Directory
IMAGE_DIRECTORY_ENTRY_RESOURCE.Size
IMAGE_DIRECTORY_ENTRY_EXCEPTION.VirtualAddress - Exception Directory
IMAGE_DIRECTORY_ENTRY_EXCEPTION.Size
IMAGE_DIRECTORY_ENTRY_SECURITY.VirtualAddress - Security Directory
IMAGE_DIRECTORY_ENTRY_SECURITY.Size
IMAGE_DIRECTORY_ENTRY_BASERELOC.VirtualAddress - Base Relocation Table
IMAGE_DIRECTORY_ENTRY_BASERELOC.Size
IMAGE_DIRECTORY_ENTRY_DEBUG.VirtualAddress - Debug Directory
IMAGE_DIRECTORY_ENTRY_DEBUG.Size
IMAGE_DIRECTORY_ENTRY_ARCHITECTURE.VirtualAddress - Architecture Specific Data
IMAGE_DIRECTORY_ENTRY_ARCHITECTURE.Size
IMAGE_DIRECTORY_ENTRY_GLOBALPTR.VirtualAddress - RVA of GP
IMAGE_DIRECTORY_ENTRY_GLOBALPTR.Size
IMAGE_DIRECTORY_ENTRY_TLS.VirtualAddress - TLS Directory
IMAGE_DIRECTORY_ENTRY_TLS.Size
IMAGE_DIRECTORY_ENTRY_LOAD_CONFIG.VirtualAddress - Load Configuration Directory
IMAGE_DIRECTORY_ENTRY_LOAD_CONFIG.Size
IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT.VirtualAddress - Bound Import Directory in headers
IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT.Size
IMAGE_DIRECTORY_ENTRY_IAT.VirtualAddress - Import Address Table
IMAGE_DIRECTORY_ENTRY_IAT.Size
IMAGE_DIRECTORY_ENTRY_DELAY_IMPORT.VirtualAddress - Delay Load Import Descriptors
IMAGE_DIRECTORY_ENTRY_DELAY_IMPORT.Size
IMAGE_DIRECTORY_ENTRY_COM_DESCRIPTOR.VirtualAddress - COM Runtime descriptor
IMAGE_DIRECTORY_ENTRY_COM_DESCRIPTOR.Size
IMAGE_DIRECTORY_ENTRY_RESERVED.VirtualAddress - RESERVED
IMAGE_DIRECTORY_ENTRY_RESERVED.Size

ඉහත එක් එක් කොටස් තුල එම Directories සදහා relative virtual address හා size දක්වා ඇත. පිහිටා නොමැති Directories සදහා 0x00000000 යන අගය ඇත.

පහත දැක්වෙන වගුවෙන් දක්වා ඇත්තේ IMAGE_NT_HEADERS පිහිටීම හා calc.exe හි ඇති දත්ත වේ.

දැන් නම් අදට ඇති කියල හිතෙනවා. ඒක නිසා අදට නවත්වනවා. ලබන සතියෙ ආයෙමත් ලියනවා. මෙතනින් IMAGE_NT_HEADERS ගැන ලියල ඉවරයි. ලබන සතියෙ ලියන්නෙ Image Section headers ගැනයි.

සිංහලෙන් win32 Portable Executable format - part 2

2009-09-16T10:59:00.035+05:30

ගිය සතියේ මෙතුලින් අප කතා කලේ IMAGE_DOS_HEADER එක ගැනයි. මීලගට අප හට ඇත්තේ IMAGE_NT_HEADERS යන කොටසයි. මෙම කොටස තුල program එකක ‍වැදගත්ම කොටස තිබේ. මෙහි file offset එක සොයා ගැනීම ඉතා පහසුය. IMAGE_DOS_HEADER යටතේ ඇති e_lfanew මගින් මෙහි file offset එක සොයා ගත හැක. ‍මෙම කොටසේ විශාලත්වය 248 bytes වේ. එය PE32 application එකක් සදහා නියත අගයකි.

එය ප්‍රධාන කොටස් 3 කට වෙන් කළ හැක.

1. IMAGE_NT_SIGNATURE
2. IMAGE_FILE_HEADER
3. IMAGE_OPTIONAL_HEADER

IMAGE_NT_SIGNATURE

මෙහි IMAGE_NT_SIGNATURE යනු 32 bits විශාලත්වයක් ඇති Dword එකකි. එහි 0x00004550 (PE) යන අගය පවතී.

IMAGE_FILE_HEADER

මීලගට තිබෙන්නේ IMAGE_FILE_HEADER යන කොටසයි. මෙය තවත් කොටස් 7 කට වෙන් කල හැක.

typedef struct _IMAGE_FILE_HEADER {
WORD Machine;
WORD NumberOfSections;
DWORD TimeDateStamp;
DWORD PointerToSymbolTable;
DWORD NumberOfSymbols;
WORD SizeOfOptionalHeader;
WORD Characteristics;
} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;

*(මෙය microsoft ආයතනයෙන් සකසන ලද winnt.h නැමැති source file එකෙහි හදුන්වා ඇති ආකාරය වේ.)

මෙහි Machine මගින් දක්වනුයේ අදාල program එක සුදුසු වන CPU platform එකයි. මේ සදහා පහත අගයන් තිබිය හැක.

0x01D3	- Matsushita AM33
0x8664	- x64
0x01C0	- ARM little endian
0x0EBC	- EFI byte code
0x014C	- Intel 386 or later processors and compatible processors
0x014D	- Intel 486 or later processors and compatible processors
0x014E	- Intel pentium or later processors and compatible processors
0x0020	- Intel Itanium processor family
0x9401	- Mitsubishi M32R little endian
0x0200	- Intel 64
0x0266	- MIPS16
0x0366	- MIPS with FPU
0x0466	- MIPS16 with FPU
0x0160	- R3000 (MIPS) processor, big endian
0x0162	- R3000 (MIPS) processor, little endian
0x0166	- R4000 (MIPS) processor, little endian
0x0168	- R10000 (MIPS) processor, little endian
0x0169	- MIPS little-endian WCE v2
0x0184	- DEC Alpha AXP processor
0x0284	- ALPHA64 or AXP64
0x01F0	- IBM Power PC, little endian
0x01F1	- Power PC with floating point support
0x01A2	- Hitachi SH3
0x01A3	- Hitachi SH3 DSP
0x01a4	- SH3E little-endian
0x01A6	- Hitachi SH4
0x01A8	- Hitachi SH5
0x01C2	- Thumb
0x0000	- Any machine type

NumberOfSections - මගින් දැක්වෙන්නේ අදාල program එක තුල ඇති sections ගනනයි. අප sections ගනන වෙනස් කරන්නේ නම් මෙහි ඇති අගයද වෙනස් කල යුතුය. sections පිළිබදව පසුව ලිවීමට බළාපොරොත්තු වෙනවා.

TimeDateStamp - මගින් දැක්වෙන්නේ program එ

ක නිර්මානය කල දිනය හා වේලාවයි. එහි සදහන්ව ඇත්තේ 1970 ජනවාරි මස 1 දින පෙ.ව. 12.00.00 සි‍ට ගත වූ තත්පර ගනනෙහි hex value එකයි.

උදා - 0x3B7D8410 ලෙස ඇත්නම්
998081552 seconds = 31:07:15 20:52:32

PointerToSymbolTable හා NumberOfSymbols සෑම අවස්ථාවකම 0x00000000 අගයෙහි පවතී. එය debug කිරීම් සදහා යොදා ගනී.

SizeOfOptionalHeader - මෙමගින් IMAGE_OPTIONAL_HEADER හි විශාලත්වය දක්වා ඇත. එය PE file එකෙහි නිරවද්‍යතාව පරීක්ෂා කිරීමට යොදා ගත හැක.

Characteristics මගින් අදාල program එක dll හෝ exe එකක්ද යන්න

බලා ගත හැක.
Characteristics ලබා ගැනීමට නම් පළමුව එය bit වශයෙන් පහත ආකාරයට වෙන් කර ගත යුතුය.

පහත දැක්වෙන bits, 1 ලෙස සටහන්ව ඇත්නම් ඒවාට පහත Characteristics තිබේ.

bit 0 (IMAGE_FILE_BYTES_REVERSED_HI) - Big endian: the MSB precedes the LSB in memory.
bit 1 (IMAGE_FILE_UP_SYSTEM_ONLY) - The file should be run only on a uniprocessor machine.
bit 2 (IMAGE_FILE_DLL) - The image file is a dynamic-link library (DLL).
bit 3 (IMAGE_FILE_SYSTEM) - The image file is a system file, not a user program. (ex: driver)
bit 4 (IMAGE_FILE_NET_RUN_FROM_SWAP) - If the image is on network media, fully load it and copy it to the swap file.

bit 5 (IMAGE_FILE_REMOVABLE_RUN_FROM_SWAP) - If the image is on removable media, fully load it and copy it to the swap file.
bit 6 (IMAGE_FILE_DEBUG_STRIPPED) - Debugging information is removed from the image file.
bit 7 (IMAGE_FILE_32BIT_MACHINE) - Machine is based on a 32-bit-word architecture.
bit 8 (IMAGE_FILE_BYTES_REVERSED_LO) - Little endian: the least significant bit (LSB) precedes the most significant bit (MSB) in memory.
bit 9 - This flag is reserved for future use.
bit 10 (IMAGE_FILE_LARGE_ADDRESS_AWARE) - Application can handle > 2 GB addresses.
bit 11 (IMAGE_FILE_AGGRESIVE_WS_TRIM) - Obsolete. Aggressively trim working set.
bit 12 (IMAGE_FILE_LOCAL_SYMS_STRIPPED) - COFF symbol table entries for local symbols have been removed.

bit 13 (IMAGE_FILE_LINE_NUMS_STRIPPED) - COFF line numbers have been removed.
bit 14 (IMAGE_FILE_EXECUTABLE_IMAGE) - Image only.
bit 15 (IMAGE_FILE_RELOCS_STRIPPED) - Image only, Windows CE, and Windows NT® and later.

උදා:- 0x010F ලෙස ඇත්නම් එය 2 පාදයට ගත් විට 0000000100001111 ලෙස වේ.
එවිට මෙය - [Machine is based on a 32-bit-word architecture.],[COFF symbol table entries for local symbols have been removed.],[COFF line numbers have been removed.],[Image only.],[Image only, Windows CE, and Windows NT® and later.]

මෙහි දක්වා තිබෙන්නේ IMAGE_NT_HEADERS හි උප කොටස් වේ.

අදට මෙතනින් ලියන එක නවත්වනවා ලබන සතියේ IMAGE_OPTIONAL_HEADER ගැන විස්තර කරන්න බලාපොරොත්තු වෙනවා.

සිංහලෙන් win32 Portable Executable format - part 1

2009-09-07T09:39:00.116+05:30

මේ දවස්වල නිකන්ම ඉන්න හින්ද මොනව හරි ලියන්න හිතුන. ඒ හින්ද අද ඉදල දන්න සිංහලෙන් blog එක ලියනවා. මේ ලියන blog එක කොටස් කීපයකට ලියන්න වෙනවා. අද පළවෙනි කොටස ලියනවා. මේ ලියන දේවල් සේරම මම සොයා ගත්තේ අවුරැදු 1 1/2 ක් විතර Internet එක පාවිච්චි කරල. සමහර විට මේ ලිපි වල වැරදි තියෙන්න පුළුවන්, පුලුවන්නම් ඒවා නිවරැදි කරන්න.

PE Format

මම මේ ලිපිය ලියන්නේ වින්‍‍ඩෝස් වල තියෙන PE Format එක ගැනයි. මේ ලිපිය ලියද්දි භාවිතා කරන භාෂා විලාසය පිළිබදව සමාවන්න, මේක පැහැදිලිව ලියන්න නම් මේ විදියටම ලියන්න වෙනවා. PE කියන්නෙ Portable Executable යන්නයි. මේ PE Files .exe (Programs) , .dll (Dynamic Link Library), .ocx (ActiveX Control) හෝ වෙනත් විදියකට තියෙන්න පුලුවන්. මේ වර්ගයේ files භාවිතා වෙන්නෙ Windows NT, Windows 95 හා Win32 files වලයි. Windows NT Drivers තියෙන්නෙත් මේ format එකෙන්ම තමයි. මේ ගැන අවබෝධයක් ලබා ගත්තොත් අපට පුළුවන් Executable එකක Source එක ලබා ගන්නත්, අර්ධ වශයෙන් වෙනස් කරන්නත් පුළුවන්. PE වල Source Code එක තියෙන්නෙ Machine Instruction විධියටමයි. ඒ නිසා වෙනස් කරද්දි ගැටළු මතු වෙනවා. නමුත් GUI සම්බන්ධ කොටස් වල Source එක පහසුවෙන් ‍තේරැම් ගන්නත්, වෙනස් කරන්නත් පුළුවන්. මේ ගැන පැහැදිලි දැනුමක් තියෙනවනම් Source එක වෙනස් කරන්න පුළුවන් Software එකක් වුනත් හදන්න පුළුවන්. පහතින් දැක්වෙනුයේ මාවිසින් නිර්මානය කරන ලද එවැනි Source එක වෙනස් කර re-compile කල හැකි මෘදුකාංගයකි.

* පින්තූර විශාලනය කිරීමට එය මත click කරන්න.
* Software එකක Source එක වෙනස් කිරීමට ප්‍රථම එහි Copyrights පිළිබදව සැලකිලිමත් වන්න.

මෙහි සියලුම උදාහරණ හා පහදාදීම් සදහා c:\windows\system32\calc.exe හා c:\windows\system32\shell32.dll යොදා ගෙන ඇත.

Program එකක් Execute වීම.

මෙහි c:\windows\system32\calc.exe හි MS-DOS හිදී Instructions කීපයක් දක්වා ඇත. නිල් වර්ණයෙන් දක්වා ඇත්තේ ඒවාය.

මෙහිදී calc.exe, MS-DOS තුලදී run කල නොහැකි නිසා calc.exe ට අයත් Instrucions 7 ක් තුලදී terminate වීම සිදුවේ. (නමුත් calc.exe ක්‍රියාත්මක කිරීමට windows kernel මගින් විශාල instructions ප්‍රමාණයක් යොදවයි.)

- මෙහි AX හි දැක්වෙනුයේ EAX registry එකෙහි AX කොටසයි. අවසන් instruction එකේදී AX=0x4C01 යනුවෙන් ඇත. මෙහි 4C යනු Exit යන්නත්, 01 යනු return value එකත් වේ.

- මෙහි BX, CX යනුවෙන් දැක්වෙන්නේ EBX, ECX registry වේ. මෙමගින් Execute වන Program එකෙහි විශාලත්වය පෙන්වයි.
[(0001 BE00)hex] bytes = 114176 bytes මෙය calc.exe හි විශාලත්වයට සමාන නොවේ. (මේ සදහා
IMAGE_DOS_HEADER ---> 64 bytes
Windows® header ---> 448 bytes
එක් වු විට calc.exe හි විශාලත්වයට සමාන වේ.)

- මෙහි DX මගින් දැක්වෙනුයේ Data register එකට ගත යුතු data හි starting offset එකයි. DX=0x000E ලෙස ඇත. මෙමගින් කියවෙනුයේ 0x000E ස්ථානයේ සිට කියවිය යුතු බවය. (මෙහිදී 24 hex value එක හමුවෙන ‍තෙක් read කිරීම සිදු කරයි. එමගින් This program cannot be run in DOS mode. යන්න data register එකට යයි.)

මෙහි
SP - stack pointer
DS - data segment
CS - code segment
IP - instruction pointer

(Assembly language ගැන පසුව හොදින් විස්තර කිරීමට බලාපොරොත්තු වෙනවා.)

ඉහත program එක execute වීමේදී ආරම්භයේ සිට අවසානය තෙක් execute නොවේ. එය යම් කිසි ක්‍රමයකට සිදු වේ. මෙමගින් පැහැදිලි වනුයේ මේ සදහා විශේෂිත file format එකක් ඇති බවයි.

මේ file format එක නිර්මානය කලේ Microsoft ආයතනයෙන්, මේක සම්මත කලේ TIS (Tool Interface Standard) Committee (Microsoft, Intel, Bordland, Watcom, IBM and Others) මගින් 1993 දීය. මේ format එක සමහර Unix හා VMS වලදීද භාවිතා වෙනවා. PE file එකක් සරලව පහත ආකාරයට දක්වන්න පුළුවන්

MS-DOS Stub

IMAGE_NT_HEADERS

Image Section headers

Section 1

Section 2

..........

Section n

PE File එකක් run කිරීමේදී පළමුවම සිදුවනුයේ MS-DOS Stub කියවා එහි validity එක පරීක්ෂා කිරීමයි. MS-DOS Stub එක යනු MS-DOS වැඩසටහකි. එය 16 bit-windows වැඩසටහනකි. පසුව එය valid නම් IMAGE_NT_HEADERS වෙත ගොස් Execute කිරීම ආරම්භ කරයි. IMAGE_NT_HEADERS සිට ඉදිරියට තිබෙන්නේ 32 bit-windows වැඩසටහනකි.
PE file එකක් logical disk එකක් යැයි සිතන්න. එවිට IMAGE_NT_HEADERS යනු logical disk එකෙහි Boot Sector එක ලෙස ගත හැක. එවිට Sections, logical disk හි ඇති files ලෙස ගත හැක. Files සදහා read-only, hidden, system, archive ලෙස attributes තිබිය හැක. මෙලෙස Sections සදහාද attributes තිබිය හැක. එම attributes තබා ගනුයේ Image Section headers හිය. එය array එකක් ආකාරයෙන් පවතී. එහි එක් එක් Sections සදහා වෙන වෙනම attributes තබා ගනී. Sections n ප්‍රමාණයක් තිබේ නම්, Image Section headers හි කොටස් n ප්‍රමාණයක attributes තබා ගනී. මෙම Sections .code, .data, .idata, .edata හා තවත් ආකාර වලින් තිබිය හැක. මෙහි උඩින්ම තියෙන්නෙ MS-DOS Stub එකයි. මෙම‍ගින් අපට පුලුවන් අදාල Executable එක valid Executable එකක්ද කියල දැනගන්න. මේ DOS Stub තවත් කොටස් 2 ක‍ට බෙදන්න පුළුවන්.

1. IMAGE_DOS_HEADER
2. MS-DOS_STUB_PROGRAM

IMAGE_DOS_HEADER

IMAGE_DOS_HEADER එක තවත් කොටස් කීපයකට වෙන් කරන්න පුළුවන්

i.	e_magic	Magic number e_magic සදහා තිබිය හැකි අගයන් IMAGE_DOS_SIGNATURE - 0x5A4D, MZ IMAGE_OS2_SIGNATURE - 0x454E, NE IMAGE_OS2_SIGNATURE_LE - 0x454C, LE
ii.	e_cblp	Bytes on last page of file
iii.	e_cp	Pages in file
iv.	e_crlc	Number of relocation entries stored after the header.
v.	e_cparhdr	Size of header in paragraphs
vi.	e_minalloc	Minimum extra paragraphs needed
vii.	e_maxalloc	Maximum extra paragraphs needed
viii.	e_ss	Relative value of the stack segment.
ix.	e_sp	Initial value of the SP register.
x.	e_csum	Word checksum.
xi.	e_ip	Initial value of the IP register.
xii.	e_cs	Initial value of the CS register.(relative to the segment the program was loaded at.)
xiii.	e_lfarlc	File address of relocation table
xiv.	e_ovno	Overlay number
xv.	e_res(0)	Reserved words
xvi.	e_res(1)	Reserved words
xvii.	e_res(2)	Reserved words
xviii.	e_res(3)	Reserved words
xix.	e_oemid	OEM identifier (for e_oeminfo)
xx.	e_oeminfo	OEM information
xxi.	e_res2(0)	Reserved words
xxii.	e_res2(1)	Reserved words
xxiii.	e_res2(2)	Reserved words
xiv.	e_res2(3)	Reserved words
xv.	e_res2(4)	Reserved words
xvi.	e_res2(5)	Reserved words
xvii.	e_res2(6)	Reserved words
xviii.	e_res2(7)	Reserved words
xxix.	e_res2(8)	Reserved words
xxx.	e_res2(9)	Reserved words
xxxi.	e_lfanew	File address of new exe header

DQ - Qword    DD - Dword    DW - Word    DB - Byte

MS-DOS_STUB_PROGRAM හිදී Executable එක invalid නම් "This program cannot be run in DOS mode." හෝ වෙනත් Text එකක් දර්ශනය කරමින් ඉවත් වේ. මෙම දර්ශනය වන Text එක assembler/compiler එක මගින් යොදන Text එකකි. Executable එක valid නම් IMAGE_NT_HEADERS සිට ඉදිරියට ඇති වැඩසටහන ආරම්භ කරයි. ඉහත e_lfarlc මගින් MS-DOS_STUB_PROGRAM හි ආරම්භක ස්ථානයත් e_lfnew මගින් IMAGE_NT_HEADERS හි ආරම්භක ස්ථානයත් දක්වා ඇත. එමගින් අපට MS-DOS_STUB_PROGRAM හි විශාලත්වය ලබා ගත හැක. මෙහි DOS_STUB_PROGRAM හි ආරම්භක ස්ථානය දක්වා ඇත්තේ 16 bit word එකකිනි. IMAGE_NT_HEADERS හි ආරම්භක ස්ථානය දක්වා ඇත්තේ 32 bit word එකකිනි. එමගින් පැහැදිලි වනුයේ DOS Stub එක 16 bit-windows වැඩසටහක් බවත් IMAGE_NT_HEADERS සිට ඉදිරියට 32 bit-windows වැඩසටහනක් ඇති බවත්ය.

MS-DOS Stub හි පිහිටීම

සැ.යු. :- Data කියවීමේදී Right-to-Left Order එක‍ට කියවිය යුතුය.
උදා:- F0 00 00 00 ලෙස ඇත්නම් 00 00 00 F0 වන ආකාරයට කියවිය යුතුය.
12 34 56 78 ලෙස ඇත්නම් 78 56 34 12 වන ආකාරය‍ට කියවිය යුතුය.


#include "pshpack1.h"

#define IMAGE_DOS_SIGNATURE                 0x4D5A      // MZ
#define IMAGE_OS2_SIGNATURE                 0x4E45      // NE
#define IMAGE_OS2_SIGNATURE_LE              0x4C45      // LE
#define IMAGE_NT_SIGNATURE                  0x50450000  // PE00

typedef struct _IMAGE_DOS_HEADER {      // DOS .EXE header
WORD   e_magic;                     // Magic number
WORD   e_cblp;                      // Bytes on last page of file
WORD   e_cp;                        // Pages in file
WORD   e_crlc;                      // Relocations
WORD   e_cparhdr;                   // Size of header in paragraphs
WORD   e_minalloc;                  // Minimum extra paragraphs needed
WORD   e_maxalloc;                  // Maximum extra paragraphs needed
WORD   e_ss;                        // Initial (relative) SS value
WORD   e_sp;                        // Initial SP value
WORD   e_csum;                      // Checksum
WORD   e_ip;                        // Initial IP value
WORD   e_cs;                        // Initial (relative) CS value
WORD   e_lfarlc;                    // File address of relocation table
WORD   e_ovno;                      // Overlay number
WORD   e_res[4];                    // Reserved words
WORD   e_oemid;                     // OEM identifier (for e_oeminfo)
WORD   e_oeminfo;                   // OEM information; e_oemid specific
WORD   e_res2[10];                  // Reserved words
LONG   e_lfanew;                    // File address of new exe header
} IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER;

(මෙය microsoft ආයතනයෙන් සකසන ලද winnt.h නැමැති source file එකෙහි හදුන්වා ඇති ආකාරය වේ.)

2009-06-18T14:53:00.003+05:30

For free download software/Games/Films visit my web page.

http://maduranga.page.tl

Life without computer

2009-06-09T10:42:00.000+05:30

An application was for employment
A program was a TV show
A cursor used profanity
And a keyboard was on a piano!

Memory was something that you lost with age
And a CD was a bank account
And if you had a corrupted disk
It would hurt when you found out!

Compress was what you did to garbage
Not something you did to a file
And if you unzipped anything in public
You'd be in jail for a while!

Log on was adding wood to a fire
A hard drive was a trip on the road
A mouse pad was where a mouse lived
And a backup happened to the commode!

Cutting, you did with a pocket knife,
Pasting, you did with glue.
The Web was where a spider lived
And a virus was the flu!