[更新376#2825]PECMD2012.1.80.13_Win32_64.多窗口多线程.裸机系统2.3.3.1+18M酷M...

阿弥陀佛 发表于 2014-5-24 12:07:48

mdyblog 发表于 2014-5-24 08:08
麻烦试试最新版(重新下载)

PART -super -up -swap:4 2#1

还是无效啊

点评

qq14667696

阿阿退休了？好久不见。详情回复发表于 2018-10-19 20:29

mdyblog

你那U盘是磁盘 #2吗？一般是＃1 如果这样，应改为： PART -super -up -swap:4 1#1 part -ahup hupdate 1 part -gui -usb //读卡器+SD卡刷新磁盘 ?? 详情回复发表于 2014-5-24 13:55

2012bzsb 发表于 2014-6-24 18:57:38

哦,可能不同系统代码不同吧.
+空格, 可以出来

就这样吧

2010hktk 发表于 2014-7-12 13:58:50

PECMD2012.1.88.02.00-140625.多窗口线程稳定版_win32_64新设计.sfx.zip
这个版本在哪里有下载？？

527104427 发表于 2014-7-17 22:08:11

mdyblog 发表于 2014-7-17 22:01
去掉空格
[Maxtor 6Y120L0 ]
变成 [Maxtor6Y120L0]

WinHex 获取的型号，中间有个空格。
Diskgen 获取的型号，中间没空格。
不知道哪个更准确？

1.png (93.64 KB, 下载次数: 4545)

2.png (153 KB, 下载次数: 4426)

点评

mdyblog

硬盘上存储的本来有个空格。而且一般用空格填满整个剩余空间。有些人去掉空格是，简单地“碰到空格”。还是【最好只去掉前后的空格，中间应该保留】吧。详情回复发表于 2014-7-17 22:12

527104427 发表于 2014-7-17 20:07:45

mdyblog 发表于 2014-7-17 19:46
用局部PE变量，（或先设为空变量）

注意：不是所有磁盘都支持读硬件序列号。此时返回空。

我的是两个本地硬盘。原来还是有限制的

点评

mdyblog

》》两个本地硬盘两个本地硬盘都能拿回来 -devidx吗？详情回复发表于 2014-7-17 20:10

527104427 发表于 2014-7-13 12:51:28

mdyblog 发表于 2014-7-13 12:37
>>这样也失败，有没有办法不展开变量%systemroot%？

OK

singel 发表于 2014-7-13 00:53:03

M大，网盘里1.88版怎么没了呢？

点评

mdyblog

同上。怎么让飞行的子弹停住：网络没缴费。传上了。详情回复发表于 2014-7-13 10:45

527104427 发表于 2014-7-17 22:03:35

mdyblog 发表于 2014-7-17 22:01
去掉空格
[Maxtor 6Y120L0 ]
变成 [Maxtor6Y120L0]

最好只去掉前后的空格，中间应该保留吧

点评

mdyblog

试试这个 Disk[0] Mod[Maxtor 6Y120] SN[Y36MNBRE] 详情回复发表于 2014-7-17 22:21

阿弥陀佛 发表于 2014-7-17 13:41:02

tabs右边的边框是白色的，在win7下看不清楚。

点评

mdyblog

那是微软自己画的，不同系统上不一样。那是MS立体感。左边是阴面，叫暗，右边是阳面，白亮白亮的。详情回复发表于 2014-7-17 15:00

527104427 发表于 2014-7-17 11:48:59

mdyblog 发表于 2014-7-17 10:08
改了。

imdisk-1.84汉化：

http://pan.baidu.com/s/1mgiHqre

点评

yyz2191958

辛苦了发表于 2024-7-31 21:37

mdyblog

新版： PART -devidx 支持拿到硬盘的物理序列号。是磁盘本身的。结果：详情回复发表于 2014-7-17 14:27

评分

参与人数 1	无忧币 +2	收起理由
yyz2191958	+ 2	赞一个!

查看全部评分

红毛樱木 发表于 9 小时前

Zap 发表于 2025-11-7 13:03
呼叫古希腊掌管代码的神

牛逼，你要双休吗

Zap 发表于 9 小时前

本帖最后由 Zap 于 2025-11-7 13:04 编辑

红毛樱木发表于 2025-11-6 19:59
想翻译成PECMD，自己研究的代码要用C语言，不能用C++，不然不好翻译的。 PECMD我感觉是类似C风格的

呼叫古希腊掌管代码的神

//返回程序第一个图标名
#include <windows.h>
#include <shlwapi.h>
#include <wchar.h>
#include <stdio.h>
#include <stdlib.h>
#include <io.h> // 用于_setmode
#include <fcntl.h> // 用于_O_U16TEXT
#pragma comment(lib, "shlwapi.lib")
// 全局资源名称数组及计数
wchar_t** g_resourceNames = NULL;
int g_resourceCount = 0;
// 资源枚举回调函数：正确处理整数ID和字符串名称
BOOL CALLBACK EnumResNameProc(HMODULE hModule, LPCWSTR lpszType, LPWSTR lpszName, LONG_PTR lParam) {
wchar_t* resName = NULL;
if (IS_INTRESOURCE(lpszName)) {
// 处理整数ID（资源ID是16位无符号整数）
WORD id = (WORD)(UINT_PTR)lpszName; // 正确转换资源ID
resName = (wchar_t*)malloc(64 * sizeof(wchar_t)); // 扩大缓冲区避免溢出
if (!resName) return FALSE; // 检查内存分配失败
// 格式化整数ID为 "#数字"（例如#1000）
if (swprintf_s(resName, 64, L"#%u", id) < 0) { // 使用%u匹配WORD（无符号）
free(resName);
return FALSE;
}
} else {
// 处理字符串名称（例如ICO_MYCOMPUTER）
size_t nameLen = wcslen(lpszName);
resName = (wchar_t*)malloc((nameLen + 1) * sizeof(wchar_t));
if (!resName) return FALSE; // 检查内存分配失败
wcscpy_s(resName, nameLen + 1, lpszName);
}
// 扩展资源名称数组
wchar_t** newArray = (wchar_t**)realloc(g_resourceNames, (g_resourceCount + 1) * sizeof(wchar_t*));
if (!newArray) {
free(resName);
return FALSE;
}
g_resourceNames = newArray;
g_resourceNames[g_resourceCount++] = resName;
return TRUE;
}
// 释放资源名称数组内存
void FreeResourceNames() {
for (int i = 0; i < g_resourceCount; i++) {
if (g_resourceNames[i]) free(g_resourceNames[i]);
}
free(g_resourceNames);
g_resourceNames = NULL;
g_resourceCount = 0;
}
// 显示帮助信息
void ShowHelp(const wchar_t* programName) {
wprintf(L"用法: %ls <目标程序路径>\n", programName);
wprintf(L"示例: %ls C:\\Windows\\explorer.exe\n", programName);
}
int wmain(int argc, wchar_t* argv[]) {
// 设置控制台宽字符模式（确保中文和宽字符正常显示）
_setmode(_fileno(stdout), _O_U16TEXT);
_setmode(_fileno(stderr), _O_U16TEXT);
// 参数检查
if (argc != 2) {
ShowHelp(argv[0]);
return -1;
}
wchar_t targetPath[MAX_PATH];
wcscpy_s(targetPath, MAX_PATH, argv[1]);
// 检查目标文件是否存在
if (!PathFileExistsW(targetPath)) {
fwprintf(stderr, L"错误: 文件不存在 - %ls\n", argv[1]);
return -2;
}
// 加载目标程序作为资源文件（仅读取资源，不执行代码）
HMODULE hModule = LoadLibraryExW(targetPath, NULL, LOAD_LIBRARY_AS_DATAFILE | LOAD_LIBRARY_AS_IMAGE_RESOURCE);
if (!hModule) {
fwprintf(stderr, L"错误: 无法加载文件资源 (错误码: %d)\n", GetLastError());
return -3;
}
// 枚举所有图标组资源（RT_GROUP_ICON是图标组的资源类型）
FreeResourceNames();
if (!EnumResourceNamesW(hModule, RT_GROUP_ICON, EnumResNameProc, 0)) {
fwprintf(stderr, L"错误: 枚举图标资源失败 (错误码: %d)\n", GetLastError());
FreeLibrary(hModule);
FreeResourceNames();
return -3;
}
// 输出第一个图标组名称（修复格式符错误）
if (g_resourceCount > 0 && g_resourceNames[0]) {
// 修复：用%ls打印宽字符字符串（wchar_t*），而非%s
wprintf(L"%ls\n", g_resourceNames[0]);
} else {
fwprintf(stderr, L"错误: 未找到图标组资源\n");
FreeLibrary(hModule);
FreeResourceNames();
return -3;
}
// 清理资源
FreeLibrary(hModule);
FreeResourceNames();
return 0;
}

复制代码

点评

红毛樱木

牛逼，你要双休吗详情回复发表于 9 小时前

5315929 发表于昨天 20:11

感谢分享。

红毛樱木 发表于 昨天 19:59

Zap 发表于 2025-11-6 18:02
PECMD太难了

想翻译成PECMD，自己研究的代码要用C语言，不能用C++，不然不好翻译的。 PECMD我感觉是类似C风格的

点评

Zap

呼叫古希腊掌管代码的神详情回复发表于 9 小时前

Zap 发表于昨天 18:02

红毛樱木发表于 2025-11-6 12:45
你第一次给的C++源码，我都帮你翻译完了。而且你代码里的逻辑不对，我也帮你改了。还要咋样呀。。。我 ...

PECMD太难了

点评

红毛樱木

想翻译成PECMD，自己研究的代码要用C语言，不能用C++，不然不好翻译的。 PECMD我感觉是类似C风格的详情回复发表于昨天 19:59

红毛樱木 发表于 昨天 12:45

Zap 发表于 2025-11-6 12:13
你咋不一次改成我这今天才研究出来，大前天还不会

你第一次给的C++源码，我都帮你翻译完了。而且你代码里的逻辑不对，我也帮你改了。还要咋样呀。。。我都不知道你代码的原理

点评

Zap

PECMD太难了详情回复发表于昨天 18:02

Zap 发表于昨天 12:34

527104427 发表于 2025-11-6 12:29
你没发现你把一个括号改丢了吗？

丢不丢都一样了因为错不在这前面都截胡了
快去请掌管代码的神@mdyblog

点评

527104427

你牛逼，你来请发表于昨天 12:40

527104427 发表于昨天 12:29

Zap 发表于 2025-11-6 12:13
你咋不一次改成我这今天才研究出来，大前天还不会

你没发现你把一个括号改丢了吗？

点评

Zap

丢不丢都一样了因为错不在这前面都截胡了快去请掌管代码的神@mdyblog 详情回复发表于昨天 12:34

Zap 发表于昨天 12:13

红毛樱木发表于 2025-11-6 11:07
太费劲了，帖代码咋不一次帖完。不想看不想研究，你自己改吧

你咋不一次改成

我这今天才研究出来，大前天还不会

点评

红毛樱木

你第一次给的C++源码，我都帮你翻译完了。而且你代码里的逻辑不对，我也帮你改了。还要咋样呀。。。我都不知道你代码的原理详情回复发表于昨天 12:45

527104427

你没发现你把一个括号改丢了吗？ [attachimg]567152[/attachimg] 详情回复发表于昨天 12:29

红毛樱木 发表于 昨天 11:07

Zap 发表于 2025-11-6 11:05

太费劲了，帖代码咋不一次帖完。不想看不想研究，你自己改吧

点评

Zap

你咋不一次改成我这今天才研究出来，大前天还不会详情回复发表于昨天 12:13

Zap 发表于昨天 11:05

#include <windows.h>
#include <vector>
#include <string>
#include <fstream>
#include <cstdlib>
#include <iostream>
#include <iomanip>
#include <sstream>
#include <algorithm>
// 全局向量存储资源名称（替代 AutoIt 的 $aEN 数组）
std::vector<std::wstring> g_resourceNames;
// 资源枚举回调函数（替代 AutoIt 的 ___EnumResNameProc）
BOOL CALLBACK EnumResNameProc(HMODULE hModule, LPCWSTR lpszType, LPWSTR lpszName, LONG_PTR lParam) {
if (IS_INTRESOURCE(lpszName)) {
// ★ 处理整数型资源 ID（如 #123）
WORD id = static_cast<WORD>(reinterpret_cast<ULONG_PTR>(lpszName));
std::wstringstream wss;
wss << L"#" << id;
g_resourceNames.push_back(wss.str());
} else {
// ★ 处理字符串型资源名称
g_resourceNames.push_back(lpszName);
}
return TRUE; // 继续枚举
}
int wmain(int argc, wchar_t* argv[]) {
// ===== 1. 命令行参数处理 =====
if (argc != 4) {
std::wcerr << L"用法: " << argv[0] << L" <文件> <索引> <输出文件>\n";
return -1;
}
std::wstring file = argv[1];
int index = _wtoi(argv[2]); // 转换索引参数
std::wstring outputFile = argv[3];
// ===== 2. 文件存在性检查 =====
if (!PathFileExistsW(file.c_str())) {
wchar_t sysDir[MAX_PATH];
// 获取系统目录路径
UINT sysDirLen = GetSystemDirectoryW(sysDir, MAX_PATH);
if (sysDirLen == 0 || sysDirLen > MAX_PATH) {
std::wcerr << L"错误: 无法获取系统目录\n";
return -2;
}
// 尝试在系统目录中查找
std::wstring sysFile = std::wstring(sysDir) + L"\" + file;
if (!PathFileExistsW(sysFile.c_str())) {
std::wcerr << argv[1] << L" 未找到\n";
return -2;
}
file = sysFile; // 使用系统目录中的文件
}
// ===== 3. 加载目标文件为数据文件 =====
HMODULE hModule = LoadLibraryExW(
file.c_str(),
NULL,
LOAD_LIBRARY_AS_DATAFILE // 重要：仅作为资源加载
);
if (!hModule) {
std::wcerr << L"错误: 无法加载文件资源\n";
return -3;
}
// ===== 4. 枚举图标组资源 =====
g_resourceNames.clear();
if (!EnumResourceNamesW(
hModule,
RT_GROUP_ICON, // 图标组资源类型
EnumResNameProc, // 回调函数
0 // 回调参数
)) {
FreeLibrary(hModule);
std::wcerr << L"错误: 枚举资源失败\n";
return -3;
}
// ===== 5. 验证并选择图标索引 =====
int absIndex = abs(index); // 处理负索引
if (absIndex < 1 || absIndex > static_cast<int>(g_resourceNames.size())) {
FreeLibrary(hModule);
std::wcerr << L"错误: 无效的图标索引\n";
return -3;
}
std::wstring resName = g_resourceNames[absIndex - 1]; // 转换为0-based索引
// ===== 6. 准备资源标识符 =====
LPCWSTR lpResName;
if (resName[0] == L'#') {
// ★ 转换 "#数字" 格式为资源ID
int id = std::wcstol(resName.substr(1).c_str(), nullptr, 10);
lpResName = MAKEINTRESOURCEW(id);
} else {
// ★ 直接使用字符串资源名
lpResName = resName.c_str();
}
// ===== 7. 加载图标组资源 =====
HRSRC hGroupRes = FindResourceW(hModule, lpResName, RT_GROUP_ICON);
if (!hGroupRes) {
FreeLibrary(hModule);
std::wcerr << L"错误: 未找到图标组资源\n";
return -3;
}
// 获取资源大小
DWORD groupSize = SizeofResource(hModule, hGroupRes);
if (groupSize < 6) { // 最小头尺寸检查
FreeLibrary(hModule);
return -3;
}
// 加载并锁定资源
HGLOBAL hGroupData = LoadResource(hModule, hGroupRes);
if (!hGroupData) {
FreeLibrary(hModule);
return -3;
}
BYTE* pGroupData = static_cast<BYTE*>(LockResource(hGroupData));
if (!pGroupData) {
FreeLibrary(hModule);
return -3;
}
// ===== 8. 解析图标组头信息 =====
WORD reserved = *reinterpret_cast<WORD*>(pGroupData); // 保留字段 (应为0)
WORD type = *reinterpret_cast<WORD*>(pGroupData + 2); // 资源类型 (应为1)
WORD count = *reinterpret_cast<WORD*>(pGroupData + 4); // 图标数量
// 验证图标组头
if (reserved != 0 || type != 1 || groupSize < 6 + 14 * count) {
FreeLibrary(hModule);
std::wcerr << L"错误: 无效的图标组格式\n";
return -3;
}
// ===== 9. 创建输出ICO文件 =====
std::ofstream outFile(outputFile, std::ios::binary);
if (!outFile.is_open()) {
FreeLibrary(hModule);
std::wcerr << L"错误: 无法创建输出文件\n";
return -3;
}
// ===== 10. 写入ICO文件头 =====
DWORD offset = 6 + 16 * count; // 计算首个图标数据偏移量
outFile.write(reinterpret_cast<char*>(pGroupData), 6); // 写入ICO头
if (!outFile) {
outFile.close();
FreeLibrary(hModule);
return -3;
}
// ===== 11. 处理每个图标条目 =====
for (WORD i = 0; i < count; ++i) {
BYTE* pEntry = pGroupData + 6 + 14 * i; // 当前图标条目指针
// 修改条目中的偏移量字段
outFile.write(reinterpret_cast<char*>(pEntry), 12); // 写入前12字节
outFile.write(reinterpret_cast<char*>(&offset), 4); // 写入新计算的偏移量
if (!outFile) {
outFile.close();
FreeLibrary(hModule);
return -3;
}
// 更新下一个图标的偏移量
DWORD iconSize = *reinterpret_cast<DWORD*>(pEntry + 8);
offset += iconSize;
}
// ===== 12. 写入图标数据 =====
for (WORD i = 0; i < count; ++i) {
BYTE* pEntry = pGroupData + 6 + 14 * i;
WORD iconId = *reinterpret_cast<WORD*>(pEntry + 12); // 获取图标ID
// 加载单个图标资源
HRSRC hIconRes = FindResourceW(hModule, MAKEINTRESOURCEW(iconId), RT_ICON);
if (!hIconRes) {
outFile.close();
FreeLibrary(hModule);
std::wcerr << L"错误: 未找到图标资源\n";
return -3;
}
// 获取图标数据
DWORD iconSize = SizeofResource(hModule, hIconRes);
HGLOBAL hIconData = LoadResource(hModule, hIconRes);
if (!hIconData || iconSize == 0) {
outFile.close();
FreeLibrary(hModule);
return -3;
}
BYTE* pIconData = static_cast<BYTE*>(LockResource(hIconData));
if (!pIconData) {
outFile.close();
FreeLibrary(hModule);
return -3;
}
// 写入图标数据到文件
outFile.write(reinterpret_cast<char*>(pIconData), iconSize);
if (!outFile) {
outFile.close();
FreeLibrary(hModule);
return -3;
}
}
// ===== 13. 清理资源 =====
outFile.close();
FreeLibrary(hModule);
std::wcout << L"图标成功导出至: " << outputFile << std::endl;
return 0; // 成功退出
}

复制代码

点评

红毛樱木

太费劲了，帖代码咋不一次帖完。不想看不想研究，你自己改吧详情回复发表于昨天 11:07

Zap 发表于昨天 11:00

红毛樱木发表于 2025-11-5 23:36
更正后的代码。
C++源码你自己改吧....

换个程序就不行了

Zap 发表于昨天 10:53

又不行了

//LOGS * %&CurDir%\log.log
ENVI^ ENVIMODE=1
ENVI &exePath=D:\软件\BCompare\BCompare.exe //C:\Windows\explorer.exe //C:\Windows\System32\calc.exe
CALL GetFirstIconGroupID "%&exePath%" &iconId
MESS. 第一个图标ID:%&iconId%@
exit
_SUB GetFirstIconGroupID
ENVI-ret %~2=0
ENVI &&exePath=%~1
ENVI &&GENERIC_READ=0x80000000
ENVI &&FILE_SHARE_READ=0x00000001
ENVI &&OPEN_EXISTING=3
ENVI &&INVALID_HANDLE_VALUE=-1
CALL$--qd --ret:&&hFile Kernel32.dll,CreateFileW,$%&exePath%,#%&GENERIC_READ%,#%&FILE_SHARE_READ%,#0,#%&OPEN_EXISTING%,#0,#0 // C中的NULL就是0，在PECMD中用数值 #0
IFEX #%&hFile%=%&INVALID_HANDLE_VALUE%,
{*
ENVI-ret %~2=0
EXIT _SUB
}
CALL$--qd --ret:&&fileSize Kernel32.dll,GetFileSize,#%&hFile%,#0
ENVI &&PAGE_READONLY=0x02
CALL$--qd --ret:&&hMap Kernel32.dll,CreateFileMappingW,#%&hFile%,#0,#%&PAGE_READONLY%,#0,#%&fileSize%,0 //CreateFileMapping 要用实际的 CreateFileMappingW
ENVI &&FILE_MAP_READ=0x0004
CALL$--qd --16 --ret:&&pBase Kernel32.dll,MapViewOfFile,#%&hMap%,#%&FILE_MAP_READ%,#0,#0,#0
IFEX #%&pBase%=0,
{*
CALL$--qd --bool --ret:&&CloseHandleRet Kernel32.dll,CloseHandle,#%&hMap%
CALL$--qd --bool --ret:&&CloseHandleRet Kernel32.dll,CloseHandle,#%&hFile%
ENVI-ret %~2=0
EXIT _SUB
}
// PIMAGE_DOS_HEADER 的结构体 IMAGE_DOS_HEADER 64字节
//SET$# &dos=*64 0
SET-mkfixdummy &dos=%&pBase%@0;*64
SET?longs dos=&&dos.e_lfanew:60
//MESS. %&dos.e_lfanew%@&dos.e_lfanew
// PIMAGE_NT_HEADERS 的结构体(64位为 IMAGE_NT_HEADERS64 大小 264字节)(32位为 IMAGE_NT_HEADERS32 大小 248字节)
IFEX #0, //判断错误，应该直接判断PE文件头是32位还是64位。
{*
IFEX #%&bX64%=3,
{*
//SET$# &nt=*264 0
SET-mkfixdummy &nt=(%&pBase%+%&dos.e_lfanew%)@0;*264
}!
{*
//SET$# &nt=*248 0
SET-mkfixdummy &nt=(%&pBase%+%&dos.e_lfanew%)@0;*248
}
}
ENVI &&IMAGE_NT_OPTIONAL_HDR32_MAGIC=0x10b //32位
ENVI &&IMAGE_NT_OPTIONAL_HDR64_MAGIC=0x20b //64位
SET?short (%&pBase%+%&dos.e_lfanew%)=&&nt.OptionalHeader.Magic:24
//MESS. %&nt.OptionalHeader.Magic%@&nt.OptionalHeader.Magic
IFEX #%&nt.OptionalHeader.Magic%=%&IMAGE_NT_OPTIONAL_HDR32_MAGIC%,
{*
SET-mkfixdummy &nt=(%&pBase%+%&dos.e_lfanew%)@0;*248
}!
{*
IFEX #%&nt.OptionalHeader.Magic%=%&IMAGE_NT_OPTIONAL_HDR64_MAGIC%,
{*
SET-mkfixdummy &nt=(%&pBase%+%&dos.e_lfanew%)@0;*264
}!
{*
CALL$--qd --bool --ret:&&UnmapViewOfFileRet Kernel32.dll,UnmapViewOfFile,#%&pBase%;
CALL$--qd --bool --ret:&&CloseHandleRet Kernel32.dll,CloseHandle,#%&hMap%
CALL$--qd --bool --ret:&&CloseHandleRet Kernel32.dll,CloseHandle,#%&hFile%
ENVI-ret %~2=0
EXIT _SUB
}
}
//GETF &nt,0#*,&&nt_Hex
//MESS. %&nt_Hex%@&nt_Hex
SET?long nt=&&nt.Signature:0
//MESS. %&nt.Signature%@&nt.Signature
ENVI &&IMAGE_NT_SIGNATURE=0x00004550 // PE00
IFEX #%&nt.Signature%<>%&IMAGE_NT_SIGNATURE%,
{*
CALL$--qd --bool --ret:&&UnmapViewOfFileRet Kernel32.dll,UnmapViewOfFile,#%&pBase%;
CALL$--qd --bool --ret:&&CloseHandleRet Kernel32.dll,CloseHandle,#%&hMap%
CALL$--qd --bool --ret:&&CloseHandleRet Kernel32.dll,CloseHandle,#%&hFile%
ENVI-ret %~2=0
EXIT _SUB
}
// 定位资源目录
// auto& resDir = nt->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_RESOURCE];
ENVI &&IMAGE_DIRECTORY_ENTRY_RESOURCE=2 // Resource Directory
//ENVI &&IMAGE_DIRECTORY_ENTRY_RESOURCE=0 // 测试
IFEX #0,
{*
IFEX #%&bX64%=3,
{*
SET-mkfixdummy &resDir=&nt@(4+20+112+(8*%&IMAGE_DIRECTORY_ENTRY_RESOURCE%));*8
}!
{*
SET-mkfixdummy &resDir=&nt@(4+20+96+(8*%&IMAGE_DIRECTORY_ENTRY_RESOURCE%));*8
}
}
IFEX #%&nt.OptionalHeader.Magic%=%&IMAGE_NT_OPTIONAL_HDR32_MAGIC%,
{*
SET-mkfixdummy &resDir=&nt@(4+20+96+(8*%&IMAGE_DIRECTORY_ENTRY_RESOURCE%));*8
}!
{*
IFEX #%&nt.OptionalHeader.Magic%=%&IMAGE_NT_OPTIONAL_HDR64_MAGIC%,
{*
SET-mkfixdummy &resDir=&nt@(4+20+112+(8*%&IMAGE_DIRECTORY_ENTRY_RESOURCE%));*8
}!
{*
CALL$--qd --bool --ret:&&UnmapViewOfFileRet Kernel32.dll,UnmapViewOfFile,#%&pBase%;
CALL$--qd --bool --ret:&&CloseHandleRet Kernel32.dll,CloseHandle,#%&hMap%
CALL$--qd --bool --ret:&&CloseHandleRet Kernel32.dll,CloseHandle,#%&hFile%
ENVI-ret %~2=0
EXIT _SUB
}
//GETF &resDir,0#*,&&resDir_Hex
//MESS. %&resDir_Hex%@&resDir_Hex
SET?long resDir=&&resDir.VirtualAddress:0
//MESS. %&resDir.VirtualAddress%@&resDir.VirtualAddress
// 定位资源节（.rsrc）
ENVI &&i=0
SET?shorts nt=&&nt.FileHeader.NumberOfSections:(4+2) //WORD 2 字节，用short和wchar都可以
//MESS. %&nt.FileHeader.NumberOfSections%@&nt.FileHeader.NumberOfSections
SET?shorts nt=&&nt.FileHeader.SizeOfOptionalHeader:(4+2+2+4+4+4)
//MESS. %&nt.FileHeader.SizeOfOptionalHeader%@&nt.FileHeader.SizeOfOptionalHeader
//SET-mkfixdummy &section=&nt
LOOP #%&i%<%&nt.FileHeader.NumberOfSections%,
{*
//#define IMAGE_FIRST_SECTION( ntheader ) ((PIMAGE_SECTION_HEADER) ((ULONG_PTR)(ntheader) + FIELD_OFFSET( IMAGE_NT_HEADERS, OptionalHeader ) + ((ntheader))->FileHeader.SizeOfOptionalHeader ))
SET-mkfixdummy &section=(%&pBase%+%&dos.e_lfanew%+(4+20+%&nt.FileHeader.SizeOfOptionalHeader%))@(40*%&i%);*40 // 相当于 section++
//GETF &section,0#40,&&section_Hex
//MESS. %&section_Hex%@&section_Hex
SET?long section=&&section.VirtualAddress:12
//MESS. &section.VirtualAddress:%&section.VirtualAddress%@%&i%
SET?long section=&&section.Misc.VirtualSize:8
//MESS. IFEX #[ ( %&resDir.VirtualAddress% >= %&section.VirtualAddress% ) & ( %&resDir.VirtualAddress% < ( %&section.VirtualAddress% + %&section.Misc.VirtualSize% ) ) ],@%&i%
//IFEX #[ ( %&resDir.VirtualAddress% >= %&section.VirtualAddress% ) & ( %&resDir.VirtualAddress% < ( %&section.VirtualAddress% + %&section.Misc.VirtualSize% ) ) ], // IFEX 存在BUG，不能这样嵌套使用，先算出来吧。
IFEX #%&resDir.VirtualAddress% >= %&section.VirtualAddress%,
{*
CALC &&Fix=%&section.VirtualAddress% + %&section.Misc.VirtualSize%
IFEX #%&resDir.VirtualAddress% < %&Fix%,
{*
EXIT LOOP
}
}
CALC #&i=%&i% + 1
}
// 计算资源目录在文件中的实际偏移
SET?long section=&&section.PointerToRawData:20
CALC #&&resOffset=%&resDir.VirtualAddress% - %&section.VirtualAddress% + %&section.PointerToRawData%
//MESS. %&resOffset%<&i:%&i%><CALC #&&resOffset=%&resDir.VirtualAddress% - %&section.VirtualAddress% + %&section.PointerToRawData%>@&resOffset
SET-mkfixdummy &rootDir=(%&pBase%+%&resOffset%)@0;*16
SET?short rootDir=&&rootDir.NumberOfIdEntries:(4+4+2+2+2)
//MESS. %&rootDir.NumberOfIdEntries%@&rootDir.NumberOfIdEntries
// 遍历资源类型，找到 RT_GROUP_ICON（ID=14）
//SET-mkfixdummy &typeEntry=(%&pBase%+%&resOffset%)@16;*8
//GETF &typeEntry,0#8,&&typeEntry_Hex
//MESS. %&typeEntry_Hex%@&typeEntry_Hex
ENVI &&i=0
LOOP #%&i%<%&rootDir.NumberOfIdEntries%,
{*
SET-mkfixdummy &typeEntry=(%&pBase%+%&resOffset%)@(16+(8*%&i%));*8
SET?short typeEntry=&&typeEntry.Id:0
//MESS. %&typeEntry.Id%@%&i%
IFEX #%&typeEntry.Id%=14, // RT_GROUP_ICON = 14
{*
// 获取第一个图标ID（进入ID目录的第一个条目）
SET?long typeEntry=&&typeEntry.OffsetToDirectory:4
CALC #&typeEntry.OffsetToDirectory=%&typeEntry.OffsetToDirectory% & 0x7FFFFFFF
SET-mkfixdummy &iconDir=(%&pBase%+%&resOffset%)@%&typeEntry.OffsetToDirectory%;*16
SET-mkfixdummy &iconIdEntry=(%&pBase%+%&resOffset%)@(%&typeEntry.OffsetToDirectory%+16);*8
SET?short iconIdEntry=&&iconIdEntry.Id:0
// 判断条目类型 (高位为1表示命名条目)
IFEX #%&iconIdEntry.Id% >= 0x0,
{*
// 命名条目处理
CALC #&&nameOffset=%&iconIdEntry.Id% & 0x7FFF
SET-mkfixdummy &nameHeader=(%&pBase%+%&resOffset%+%&nameOffset%)@0;*2
SET?short nameHeader=&&nameHeader.Length:0
// 读取Unicode字符串
CALC #&strAddr=%&resOffset% + %&nameOffset% + 2
GETF "%&exePath%",%&strAddr%#(%&nameHeader.Length%+14),&buffer
SET#% a=%&buffer%
CODE *,%a%,**-UNICODE,UNI
mess %&pBase% + %&resOffset% + %&nameOffset% + 2\n%&strAddr% %&nameHeader.Length%\n%UNI%
ENVI-ret~ %~2=UNI
}!
{*
// ID条目处理
ENVI-ret~ %~2=%&iconIdEntry.Id%
}
CALL$--qd --bool --ret:&&UnmapViewOfFileRet Kernel32.dll,UnmapViewOfFile,#%&pBase%;
CALL$--qd --bool --ret:&&CloseHandleRet Kernel32.dll,CloseHandle,#%&hMap%
CALL$--qd --bool --ret:&&CloseHandleRet Kernel32.dll,CloseHandle,#%&hFile%
EXIT _SUB
}
CALC #&i=%&i% + 1
}
CALL$--qd --bool --ret:&&UnmapViewOfFileRet Kernel32.dll,UnmapViewOfFile,#%&pBase%;
CALL$--qd --bool --ret:&&CloseHandleRet Kernel32.dll,CloseHandle,#%&hMap%
CALL$--qd --bool --ret:&&CloseHandleRet Kernel32.dll,CloseHandle,#%&hFile%
ENVI-ret %~2=0
_END

复制代码

Zap 发表于昨天 09:45

红毛樱木发表于 2025-11-5 23:36
更正后的代码。
C++源码你自己改吧....

搞不定

//LOGS * %&CurDir%\log.log
ENVI^ ENVIMODE=1
ENVI &exePath=C:\Windows\explorer.exe
CALL GetFirstIconGroupID "%&exePath%" &iconId
MESS. 第一个图标ID: %&iconId%@
exit
_SUB GetFirstIconGroupID
ENVI-ret %~2=0
ENVI &&exePath=%~1
ENVI &&GENERIC_READ=0x80000000
ENVI &&FILE_SHARE_READ=0x00000001
ENVI &&OPEN_EXISTING=3
ENVI &&INVALID_HANDLE_VALUE=-1
CALL$--qd --ret:&&hFile Kernel32.dll,CreateFileW,$%&exePath%,#%&GENERIC_READ%,#%&FILE_SHARE_READ%,#0,#%&OPEN_EXISTING%,#0,#0
IFEX #%&hFile%=%&INVALID_HANDLE_VALUE%,
{*
ENVI-ret %~2=0
EXIT _SUB
}
CALL$--qd --ret:&&fileSize Kernel32.dll,GetFileSize,#%&hFile%,#0
ENVI &&PAGE_READONLY=0x02
CALL$--qd --ret:&&hMap Kernel32.dll,CreateFileMappingW,#%&hFile%,#0,#%&PAGE_READONLY%,#0,#%&fileSize%,0
ENVI &&FILE_MAP_READ=0x0004
CALL$--qd --16 --ret:&&pBase Kernel32.dll,MapViewOfFile,#%&hMap%,#%&FILE_MAP_READ%,#0,#0,#0
IFEX #%&pBase%=0,
{*
CALL$--qd --bool --ret:&&CloseHandleRet Kernel32.dll,CloseHandle,#%&hMap%
CALL$--qd --bool --ret:&&CloseHandleRet Kernel32.dll,CloseHandle,#%&hFile%
ENVI-ret %~2=0
EXIT _SUB
}
SET-mkfixdummy &dos=%&pBase%@0;*64
SET?longs dos=&&dos.e_lfanew:60
ENVI &&IMAGE_NT_OPTIONAL_HDR32_MAGIC=0x10b
ENVI &&IMAGE_NT_OPTIONAL_HDR64_MAGIC=0x20b
SET?short (%&pBase%+%&dos.e_lfanew%)=&&nt.OptionalHeader.Magic:24
IFEX #%&nt.OptionalHeader.Magic%=%&IMAGE_NT_OPTIONAL_HDR32_MAGIC%,
{*
SET-mkfixdummy &nt=(%&pBase%+%&dos.e_lfanew%)@0;*248
}!
{*
IFEX #%&nt.OptionalHeader.Magic%=%&IMAGE_NT_OPTIONAL_HDR64_MAGIC%,
{*
SET-mkfixdummy &nt=(%&pBase%+%&dos.e_lfanew%)@0;*264
}!
{*
CALL$--qd --bool --ret:&&UnmapViewOfFileRet Kernel32.dll,UnmapViewOfFile,#%&pBase%;
CALL$--qd --bool --ret:&&CloseHandleRet Kernel32.dll,CloseHandle,#%&hMap%
CALL$--qd --bool --ret:&&CloseHandleRet Kernel32.dll,CloseHandle,#%&hFile%
ENVI-ret %~2=0
EXIT _SUB
}
}
SET?long nt=&&nt.Signature:0
ENVI &&IMAGE_NT_SIGNATURE=0x00004550
IFEX #%&nt.Signature%<>%&IMAGE_NT_SIGNATURE%,
{*
CALL$--qd --bool --ret:&&UnmapViewOfFileRet Kernel32.dll,UnmapViewOfFile,#%&pBase%;
CALL$--qd --bool --ret:&&CloseHandleRet Kernel32.dll,CloseHandle,#%&hMap%
CALL$--qd --bool --ret:&&CloseHandleRet Kernel32.dll,CloseHandle,#%&hFile%
ENVI-ret %~2=0
EXIT _SUB
}
ENVI &&IMAGE_DIRECTORY_ENTRY_RESOURCE=2
IFEX #%&nt.OptionalHeader.Magic%=%&IMAGE_NT_OPTIONAL_HDR32_MAGIC%,
{*
SET-mkfixdummy &resDir=&nt@(4+20+96+(8*%&IMAGE_DIRECTORY_ENTRY_RESOURCE%));*8
}!
{*
SET-mkfixdummy &resDir=&nt@(4+20+112+(8*%&IMAGE_DIRECTORY_ENTRY_RESOURCE%));*8
}
SET?long resDir=&&resDir.VirtualAddress:0
ENVI &&i=0
SET?shorts nt=&&nt.FileHeader.NumberOfSections:(4+2)
SET?shorts nt=&&nt.FileHeader.SizeOfOptionalHeader:(4+2+2+4+4+4)
LOOP #%&i%<%&nt.FileHeader.NumberOfSections%,
{*
SET-mkfixdummy &section=(%&pBase%+%&dos.e_lfanew%+(4+20+%&nt.FileHeader.SizeOfOptionalHeader%))@(40*%&i%);*40
SET?long section=&&section.VirtualAddress:12
SET?long section=&&section.Misc.VirtualSize:8
IFEX #%&resDir.VirtualAddress% >= %&section.VirtualAddress%,
{*
CALC &&Fix=%&section.VirtualAddress% + %&section.Misc.VirtualSize%
IFEX #%&resDir.VirtualAddress% < %&Fix%,
{*
EXIT LOOP
}
}
CALC #&i=%&i% + 1
}
SET?long section=&&section.PointerToRawData:20
CALC #&&resOffset=%&resDir.VirtualAddress% - %&section.VirtualAddress% + %&section.PointerToRawData%
SET-mkfixdummy &rootDir=(%&pBase%+%&resOffset%)@0;*16
SET?short rootDir=&&rootDir.NumberOfIdEntries:(4+4+2+2+2)
ENVI &&i=0
LOOP #%&i%<%&rootDir.NumberOfIdEntries%,
{*
SET-mkfixdummy &typeEntry=(%&pBase%+%&resOffset%)@(16+(8*%&i%));*8
SET?short typeEntry=&&typeEntry.Id:0
IFEX #%&typeEntry.Id%=14, // RT_GROUP_ICON
{*
SET?long typeEntry=&&typeEntry.OffsetToDirectory:4
CALC #&typeEntry.OffsetToDirectory=%&typeEntry.OffsetToDirectory% & 0x7FFFFFFF
SET-mkfixdummy &iconDir=(%&pBase%+%&resOffset%)@%&typeEntry.OffsetToDirectory%;*16
// 获取第一个条目（可能是命名或ID条目）
SET-mkfixdummy &iconIdEntry=(%&pBase%+%&resOffset%+%&typeEntry.OffsetToDirectory%+16)@0;*8
SET?short iconIdEntry=&&iconIdEntry.Id:0
// 判断条目类型 (高位为1表示命名条目)
IFEX #%&iconIdEntry.Id% >= 0x8000,
{*
// 命名条目处理
CALC #&&nameOffset=%&iconIdEntry.Id% & 0x7FFF
SET-mkfixdummy &nameHeader=(%&pBase%+%&resOffset%+%&nameOffset%)@0;*2
SET?short nameHeader=&&nameHeader.Length:0
// 读取Unicode字符串
SET $ &buffer=0
CALC #&strAddr=%&pBase% + %&resOffset% + %&nameOffset% + 2
CALL $--ret:&buffer --wid %&strAddr%, %&nameHeader.Length%
ENVI-ret~ %~2=%&buffer%
}!
{*
// ID条目处理
ENVI-ret~ %~2=%&iconIdEntry.Id%
}
CALL$--qd --bool --ret:&&UnmapViewOfFileRet Kernel32.dll,UnmapViewOfFile,#%&pBase%;
CALL$--qd --bool --ret:&&CloseHandleRet Kernel32.dll,CloseHandle,#%&hMap%
CALL$--qd --bool --ret:&&CloseHandleRet Kernel32.dll,CloseHandle,#%&hFile%
EXIT _SUB
}
CALC #&i=%&i% + 1
}
CALL$--qd --bool --ret:&&UnmapViewOfFileRet Kernel32.dll,UnmapViewOfFile,#%&pBase%;
CALL$--qd --bool --ret:&&CloseHandleRet Kernel32.dll,CloseHandle,#%&hMap%
CALL$--qd --bool --ret:&&CloseHandleRet Kernel32.dll,CloseHandle,#%&hFile%
ENVI-ret %~2=0
_END

复制代码

Zap 发表于昨天 00:40

红毛樱木发表于 2025-11-5 23:36
更正后的代码。
C++源码你自己改吧....

是哦以C:\Windows\explorer.exe为例第一个是名称ICO_MYCOMPUTER 应该转换为字符

红毛樱木 发表于 前天 23:36

本帖最后由红毛樱木于 2025-11-5 23:46 编辑

红毛樱木发表于 2025-11-5 16:19
这代码应该还有地方有偏移地址计算错的。 ENVI &&IMAGE_DIRECTORY_ENTRY_RESOURCE=0 才可以，实际看源 ...

更正后的代码。
C++源码你自己改吧....

//LOGS * %&CurDir%\log.log
ENVI^ ENVIMODE=1
// PECMD2012 内部本身就是宽字符Unicode。路径\\可以直接写真实路径\，自动转义。
ENVI &exePath=D:\软件\Photoshop\Photoshop.exe
CALL GetFirstIconGroupID "%&exePath%" &iconId
MESS. 第一个图标ID: %&iconId%@
_SUB GetFirstIconGroupID
ENVI-ret %~2=0
ENVI &&exePath=%~1
ENVI &&GENERIC_READ=0x80000000
ENVI &&FILE_SHARE_READ=0x00000001
ENVI &&OPEN_EXISTING=3
ENVI &&INVALID_HANDLE_VALUE=-1
CALL$--qd --ret:&&hFile Kernel32.dll,CreateFileW,$%&exePath%,#%&GENERIC_READ%,#%&FILE_SHARE_READ%,#0,#%&OPEN_EXISTING%,#0,#0 // C中的NULL就是0，在PECMD中用数值 #0
IFEX #%&hFile%=%&INVALID_HANDLE_VALUE%,
{*
ENVI-ret %~2=0
EXIT _SUB
}
CALL$--qd --ret:&&fileSize Kernel32.dll,GetFileSize,#%&hFile%,#0
ENVI &&PAGE_READONLY=0x02
CALL$--qd --ret:&&hMap Kernel32.dll,CreateFileMappingW,#%&hFile%,#0,#%&PAGE_READONLY%,#0,#%&fileSize%,0 //CreateFileMapping 要用实际的 CreateFileMappingW
ENVI &&FILE_MAP_READ=0x0004
CALL$--qd --16 --ret:&&pBase Kernel32.dll,MapViewOfFile,#%&hMap%,#%&FILE_MAP_READ%,#0,#0,#0
//MESS. %&pBase%@&pBase
IFEX #%&pBase%=0,
{*
CALL$--qd --bool --ret:&&CloseHandleRet Kernel32.dll,CloseHandle,#%&hMap%
CALL$--qd --bool --ret:&&CloseHandleRet Kernel32.dll,CloseHandle,#%&hFile%
ENVI-ret %~2=0
EXIT _SUB
}
// PIMAGE_DOS_HEADER 的结构体 IMAGE_DOS_HEADER 64字节
//SET$# &dos=*64 0
SET-mkfixdummy &dos=%&pBase%@0;*64
SET?longs dos=&&dos.e_lfanew:60
//MESS. %&dos.e_lfanew%@&dos.e_lfanew
// PIMAGE_NT_HEADERS 的结构体(64位为 IMAGE_NT_HEADERS64 大小 264字节)(32位为 IMAGE_NT_HEADERS32 大小 248字节)
IFEX #0, //判断错误，应该直接判断PE文件头是32位还是64位。
{*
IFEX #%&bX64%=3,
{*
//SET$# &nt=*264 0
SET-mkfixdummy &nt=(%&pBase%+%&dos.e_lfanew%)@0;*264
}!
{*
//SET$# &nt=*248 0
SET-mkfixdummy &nt=(%&pBase%+%&dos.e_lfanew%)@0;*248
}
}
ENVI &&IMAGE_NT_OPTIONAL_HDR32_MAGIC=0x10b //32位
ENVI &&IMAGE_NT_OPTIONAL_HDR64_MAGIC=0x20b //64位
SET?short (%&pBase%+%&dos.e_lfanew%)=&&nt.OptionalHeader.Magic:24
//MESS. %&nt.OptionalHeader.Magic%@&nt.OptionalHeader.Magic
IFEX #%&nt.OptionalHeader.Magic%=%&IMAGE_NT_OPTIONAL_HDR32_MAGIC%,
{*
SET-mkfixdummy &nt=(%&pBase%+%&dos.e_lfanew%)@0;*248
}!
{*
IFEX #%&nt.OptionalHeader.Magic%=%&IMAGE_NT_OPTIONAL_HDR64_MAGIC%,
{*
SET-mkfixdummy &nt=(%&pBase%+%&dos.e_lfanew%)@0;*264
}!
{*
CALL$--qd --bool --ret:&&UnmapViewOfFileRet Kernel32.dll,UnmapViewOfFile,#%&pBase%;
CALL$--qd --bool --ret:&&CloseHandleRet Kernel32.dll,CloseHandle,#%&hMap%
CALL$--qd --bool --ret:&&CloseHandleRet Kernel32.dll,CloseHandle,#%&hFile%
ENVI-ret %~2=0
EXIT _SUB
}
}
//GETF &nt,0#*,&&nt_Hex
//MESS. %&nt_Hex%@&nt_Hex
SET?long nt=&&nt.Signature:0
//MESS. %&nt.Signature%@&nt.Signature
ENVI &&IMAGE_NT_SIGNATURE=0x00004550 // PE00
IFEX #%&nt.Signature%<>%&IMAGE_NT_SIGNATURE%,
{*
CALL$--qd --bool --ret:&&UnmapViewOfFileRet Kernel32.dll,UnmapViewOfFile,#%&pBase%;
CALL$--qd --bool --ret:&&CloseHandleRet Kernel32.dll,CloseHandle,#%&hMap%
CALL$--qd --bool --ret:&&CloseHandleRet Kernel32.dll,CloseHandle,#%&hFile%
ENVI-ret %~2=0
EXIT _SUB
}
// 定位资源目录
// auto& resDir = nt->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_RESOURCE];
ENVI &&IMAGE_DIRECTORY_ENTRY_RESOURCE=2 // Resource Directory
//ENVI &&IMAGE_DIRECTORY_ENTRY_RESOURCE=0 // 测试
IFEX #0,
{*
IFEX #%&bX64%=3,
{*
SET-mkfixdummy &resDir=&nt@(4+20+112+(8*%&IMAGE_DIRECTORY_ENTRY_RESOURCE%));*8
}!
{*
SET-mkfixdummy &resDir=&nt@(4+20+96+(8*%&IMAGE_DIRECTORY_ENTRY_RESOURCE%));*8
}
}
IFEX #%&nt.OptionalHeader.Magic%=%&IMAGE_NT_OPTIONAL_HDR32_MAGIC%,
{*
SET-mkfixdummy &resDir=&nt@(4+20+96+(8*%&IMAGE_DIRECTORY_ENTRY_RESOURCE%));*8
}!
{*
IFEX #%&nt.OptionalHeader.Magic%=%&IMAGE_NT_OPTIONAL_HDR64_MAGIC%,
{*
SET-mkfixdummy &resDir=&nt@(4+20+112+(8*%&IMAGE_DIRECTORY_ENTRY_RESOURCE%));*8
}!
{*
CALL$--qd --bool --ret:&&UnmapViewOfFileRet Kernel32.dll,UnmapViewOfFile,#%&pBase%;
CALL$--qd --bool --ret:&&CloseHandleRet Kernel32.dll,CloseHandle,#%&hMap%
CALL$--qd --bool --ret:&&CloseHandleRet Kernel32.dll,CloseHandle,#%&hFile%
ENVI-ret %~2=0
EXIT _SUB
}
}
//GETF &resDir,0#*,&&resDir_Hex
//MESS. %&resDir_Hex%@&resDir_Hex
SET?long resDir=&&resDir.VirtualAddress:0
//MESS. %&resDir.VirtualAddress%@&resDir.VirtualAddress
// 定位资源节（.rsrc）
ENVI &&i=0
SET?shorts nt=&&nt.FileHeader.NumberOfSections:(4+2) //WORD 2 字节，用short和wchar都可以
//MESS. %&nt.FileHeader.NumberOfSections%@&nt.FileHeader.NumberOfSections
SET?shorts nt=&&nt.FileHeader.SizeOfOptionalHeader:(4+2+2+4+4+4)
//MESS. %&nt.FileHeader.SizeOfOptionalHeader%@&nt.FileHeader.SizeOfOptionalHeader
//SET-mkfixdummy &section=&nt
LOOP #%&i%<%&nt.FileHeader.NumberOfSections%,
{*
//#define IMAGE_FIRST_SECTION( ntheader ) ((PIMAGE_SECTION_HEADER) ((ULONG_PTR)(ntheader) + FIELD_OFFSET( IMAGE_NT_HEADERS, OptionalHeader ) + ((ntheader))->FileHeader.SizeOfOptionalHeader ))
SET-mkfixdummy &section=(%&pBase%+%&dos.e_lfanew%+(4+20+%&nt.FileHeader.SizeOfOptionalHeader%))@(40*%&i%);*40 // 相当于 section++
//GETF &section,0#40,&&section_Hex
//MESS. %&section_Hex%@&section_Hex
SET?long section=&&section.VirtualAddress:12
//MESS. &section.VirtualAddress:%&section.VirtualAddress%@%&i%
SET?long section=&&section.Misc.VirtualSize:8
//MESS. IFEX #[ ( %&resDir.VirtualAddress% >= %&section.VirtualAddress% ) & ( %&resDir.VirtualAddress% < ( %&section.VirtualAddress% + %&section.Misc.VirtualSize% ) ) ],@%&i%
//IFEX #[ ( %&resDir.VirtualAddress% >= %&section.VirtualAddress% ) & ( %&resDir.VirtualAddress% < ( %&section.VirtualAddress% + %&section.Misc.VirtualSize% ) ) ], // IFEX 存在BUG，不能这样嵌套使用，先算出来吧。
IFEX #%&resDir.VirtualAddress% >= %&section.VirtualAddress%,
{*
CALC &&Fix=%&section.VirtualAddress% + %&section.Misc.VirtualSize%
IFEX #%&resDir.VirtualAddress% < %&Fix%,
{*
EXIT LOOP
}
}
CALC #&i=%&i% + 1
}
// 计算资源目录在文件中的实际偏移
SET?long section=&&section.PointerToRawData:20
CALC #&&resOffset=%&resDir.VirtualAddress% - %&section.VirtualAddress% + %&section.PointerToRawData%
//MESS. %&resOffset%<&i:%&i%><CALC #&&resOffset=%&resDir.VirtualAddress% - %&section.VirtualAddress% + %&section.PointerToRawData%>@&resOffset
SET-mkfixdummy &rootDir=(%&pBase%+%&resOffset%)@0;*16
SET?short rootDir=&&rootDir.NumberOfIdEntries:(4+4+2+2+2)
//MESS. %&rootDir.NumberOfIdEntries%@&rootDir.NumberOfIdEntries
// 遍历资源类型，找到 RT_GROUP_ICON（ID=14）
//SET-mkfixdummy &typeEntry=(%&pBase%+%&resOffset%)@16;*8
//GETF &typeEntry,0#8,&&typeEntry_Hex
//MESS. %&typeEntry_Hex%@&typeEntry_Hex
ENVI &&i=0
LOOP #%&i%<%&rootDir.NumberOfIdEntries%,
{*
SET-mkfixdummy &typeEntry=(%&pBase%+%&resOffset%)@(16+(8*%&i%));*8
SET?short typeEntry=&&typeEntry.Id:0
//MESS. %&typeEntry.Id%@%&i%
IFEX #%&typeEntry.Id%=14, // RT_GROUP_ICON = 14
{*
// 获取第一个图标ID（进入ID目录的第一个条目）
SET?long typeEntry=&&typeEntry.OffsetToDirectory:4
CALC #&typeEntry.OffsetToDirectory=%&typeEntry.OffsetToDirectory% & 0x7FFFFFFF
SET-mkfixdummy &iconDir=(%&pBase%+%&resOffset%)@%&typeEntry.OffsetToDirectory%;*16
SET-mkfixdummy &iconIdEntry=(%&pBase%+%&resOffset%)@(%&typeEntry.OffsetToDirectory%+16);*8
SET?short iconIdEntry=&&iconIdEntry.Id:0
CALC &&firstIconId=%&iconIdEntry.Id% // 不知道源码这里为什么用DWORD计算WORD
//MESS. %&firstIconId%@
CALL$--qd --bool --ret:&&UnmapViewOfFileRet Kernel32.dll,UnmapViewOfFile,#%&pBase%;
CALL$--qd --bool --ret:&&CloseHandleRet Kernel32.dll,CloseHandle,#%&hMap%
CALL$--qd --bool --ret:&&CloseHandleRet Kernel32.dll,CloseHandle,#%&hFile%
ENVI-ret~ %~2=&firstIconId
EXIT _SUB
}
CALC #&i=%&i% + 1
}
CALL$--qd --bool --ret:&&UnmapViewOfFileRet Kernel32.dll,UnmapViewOfFile,#%&pBase%;
CALL$--qd --bool --ret:&&CloseHandleRet Kernel32.dll,CloseHandle,#%&hMap%
CALL$--qd --bool --ret:&&CloseHandleRet Kernel32.dll,CloseHandle,#%&hFile%
ENVI-ret %~2=0
_END
EXIT FILE
typedef struct _IMAGE_RESOURCE_DIRECTORY_ENTRY {
union {
struct {
DWORD NameOffset:31;
DWORD NameIsString:1;
} DUMMYSTRUCTNAME;
DWORD Name;
WORD Id;
} DUMMYUNIONNAME;
union {
DWORD OffsetToData;
struct {
DWORD OffsetToDirectory:31;
DWORD DataIsDirectory:1;
} DUMMYSTRUCTNAME2;
} DUMMYUNIONNAME2;
} IMAGE_RESOURCE_DIRECTORY_ENTRY, *PIMAGE_RESOURCE_DIRECTORY_ENTRY; //8b
typedef struct _IMAGE_RESOURCE_DIRECTORY {
DWORD Characteristics;
DWORD TimeDateStamp;
WORD MajorVersion;
WORD MinorVersion;
WORD NumberOfNamedEntries;
WORD NumberOfIdEntries;
// IMAGE_RESOURCE_DIRECTORY_ENTRY DirectoryEntries[];
} IMAGE_RESOURCE_DIRECTORY, *PIMAGE_RESOURCE_DIRECTORY; /16b
typedef struct _IMAGE_SECTION_HEADER {
BYTE Name[IMAGE_SIZEOF_SHORT_NAME];
union {
DWORD PhysicalAddress;
DWORD VirtualSize;
} Misc;
DWORD VirtualAddress;
DWORD SizeOfRawData;
DWORD PointerToRawData;
DWORD PointerToRelocations;
DWORD PointerToLinenumbers;
WORD NumberOfRelocations;
WORD NumberOfLinenumbers;
DWORD Characteristics;
} IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER; //40b
typedef struct _IMAGE_DOS_HEADER { // DOS .EXE header
WORD e_magic; // Magic number
WORD e_cblp; // Bytes on last page of file
WORD e_cp; // Pages in file
WORD e_crlc; // Relocations
WORD e_cparhdr; // Size of header in paragraphs
WORD e_minalloc; // Minimum extra paragraphs needed
WORD e_maxalloc; // Maximum extra paragraphs needed
WORD e_ss; // Initial (relative) SS value
WORD e_sp; // Initial SP value
WORD e_csum; // Checksum
WORD e_ip; // Initial IP value
WORD e_cs; // Initial (relative) CS value
WORD e_lfarlc; // File address of relocation table
WORD e_ovno; // Overlay number
WORD e_res[4]; // Reserved words
WORD e_oemid; // OEM identifier (for e_oeminfo)
WORD e_oeminfo; // OEM information; e_oemid specific
WORD e_res2[10]; // Reserved words
LONG e_lfanew; // File address of new exe header
} IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER; //64b
typedef struct _IMAGE_FILE_HEADER {
WORD Machine;
WORD NumberOfSections;
DWORD TimeDateStamp;
DWORD PointerToSymbolTable;
DWORD NumberOfSymbols;
WORD SizeOfOptionalHeader;
WORD Characteristics;
} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER; //20b
typedef struct _IMAGE_DATA_DIRECTORY {
DWORD VirtualAddress;
DWORD Size;
} IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY; //8b
typedef struct _IMAGE_OPTIONAL_HEADER {
//
// Standard fields.
//
WORD Magic;
BYTE MajorLinkerVersion;
BYTE MinorLinkerVersion;
DWORD SizeOfCode;
DWORD SizeOfInitializedData;
DWORD SizeOfUninitializedData;
DWORD AddressOfEntryPoint;
DWORD BaseOfCode;
DWORD BaseOfData;
//
// NT additional fields.
//
DWORD ImageBase;
DWORD SectionAlignment;
DWORD FileAlignment;
WORD MajorOperatingSystemVersion;
WORD MinorOperatingSystemVersion;
WORD MajorImageVersion;
WORD MinorImageVersion;
WORD MajorSubsystemVersion;
WORD MinorSubsystemVersion;
DWORD Win32VersionValue;
DWORD SizeOfImage;
DWORD SizeOfHeaders;
DWORD CheckSum;
WORD Subsystem;
WORD DllCharacteristics;
DWORD SizeOfStackReserve;
DWORD SizeOfStackCommit;
DWORD SizeOfHeapReserve;
DWORD SizeOfHeapCommit;
DWORD LoaderFlags;
DWORD NumberOfRvaAndSizes;
IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES]; //偏移地址 96b
} IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32;
typedef struct _IMAGE_OPTIONAL_HEADER64 {
WORD Magic;
BYTE MajorLinkerVersion;
BYTE MinorLinkerVersion;
DWORD SizeOfCode;
DWORD SizeOfInitializedData;
DWORD SizeOfUninitializedData;
DWORD AddressOfEntryPoint;
DWORD BaseOfCode;
ULONGLONG ImageBase;
DWORD SectionAlignment;
DWORD FileAlignment;
WORD MajorOperatingSystemVersion;
WORD MinorOperatingSystemVersion;
WORD MajorImageVersion;
WORD MinorImageVersion;
WORD MajorSubsystemVersion;
WORD MinorSubsystemVersion;
DWORD Win32VersionValue;
DWORD SizeOfImage;
DWORD SizeOfHeaders;
DWORD CheckSum;
WORD Subsystem;
WORD DllCharacteristics;
ULONGLONG SizeOfStackReserve;
ULONGLONG SizeOfStackCommit;
ULONGLONG SizeOfHeapReserve;
ULONGLONG SizeOfHeapCommit;
DWORD LoaderFlags;
DWORD NumberOfRvaAndSizes;
IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES]; //偏移地址 112b
} IMAGE_OPTIONAL_HEADER64, *PIMAGE_OPTIONAL_HEADER64;
typedef struct _IMAGE_NT_HEADERS64 {
DWORD Signature;
IMAGE_FILE_HEADER FileHeader;
IMAGE_OPTIONAL_HEADER64 OptionalHeader;
} IMAGE_NT_HEADERS64, *PIMAGE_NT_HEADERS64;
typedef struct _IMAGE_NT_HEADERS {
DWORD Signature;
IMAGE_FILE_HEADER FileHeader;
IMAGE_OPTIONAL_HEADER32 OptionalHeader;
} IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;
#include <windows.h>
#include <stdio.h>
DWORD GetFirstIconGroupID(LPCWSTR exePath) {
HANDLE hFile = CreateFileW(exePath, GENERIC_READ, FILE_SHARE_READ, NULL, OPEN_EXISTING, 0, NULL);
if (hFile == INVALID_HANDLE_VALUE) return 0;
DWORD fileSize = GetFileSize(hFile, NULL);
HANDLE hMap = CreateFileMapping(hFile, NULL, PAGE_READONLY, 0, fileSize, NULL);
LPVOID pBase = MapViewOfFile(hMap, FILE_MAP_READ, 0, 0, 0);
if (!pBase) { CloseHandle(hMap); CloseHandle(hFile); return 0; }
PIMAGE_DOS_HEADER dos = (PIMAGE_DOS_HEADER)pBase;
PIMAGE_NT_HEADERS nt = (PIMAGE_NT_HEADERS)((BYTE*)pBase + dos->e_lfanew);
if (nt->Signature != IMAGE_NT_SIGNATURE) { UnmapViewOfFile(pBase); CloseHandle(hMap); CloseHandle(hFile); return 0; }
// 定位资源目录
auto& resDir = nt->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_RESOURCE];
if (resDir.VirtualAddress == 0) { UnmapViewOfFile(pBase); CloseHandle(hMap); CloseHandle(hFile); return 0; }
// 定位资源节（.rsrc）
PIMAGE_SECTION_HEADER section = IMAGE_FIRST_SECTION(nt);
for (int i = 0; i < nt->FileHeader.NumberOfSections; i++, section++) {
if (resDir.VirtualAddress >= section->VirtualAddress &&
resDir.VirtualAddress < section->VirtualAddress + section->Misc.VirtualSize) break;
}
// 计算资源目录在文件中的实际偏移
DWORD resOffset = resDir.VirtualAddress - section->VirtualAddress + section->PointerToRawData;
PIMAGE_RESOURCE_DIRECTORY rootDir = (PIMAGE_RESOURCE_DIRECTORY)((BYTE*)pBase + resOffset);
// 遍历资源类型，找到 RT_GROUP_ICON（ID=14）
PIMAGE_RESOURCE_DIRECTORY_ENTRY typeEntry = (PIMAGE_RESOURCE_DIRECTORY_ENTRY)(rootDir + 1);
for (DWORD i = 0; i < rootDir->NumberOfIdEntries; i++, typeEntry++) {
if (typeEntry->Id == 14) { // RT_GROUP_ICON = 14
// 获取第一个图标ID（进入ID目录的第一个条目）
PIMAGE_RESOURCE_DIRECTORY iconDir = (PIMAGE_RESOURCE_DIRECTORY)((BYTE*)rootDir + typeEntry->OffsetToDirectory);
PIMAGE_RESOURCE_DIRECTORY_ENTRY iconIdEntry = (PIMAGE_RESOURCE_DIRECTORY_ENTRY)(iconDir + 1);
DWORD firstIconId = iconIdEntry->Id;
UnmapViewOfFile(pBase);
CloseHandle(hMap);
CloseHandle(hFile);
return firstIconId;
}
}
UnmapViewOfFile(pBase);
CloseHandle(hMap);
CloseHandle(hFile);
return 0;
}
// 调用示例：获取 Photoshop.exe 的第一个图标ID
int main() {
LPCWSTR exePath = L"D:\\软件\\Photoshop\\Photoshop.exe";
DWORD iconId = GetFirstIconGroupID(exePath);
printf("第一个图标ID: %u\n", iconId); // 输出：1000 或 1 等
return 0;
}

复制代码

点评

Zap

换个程序就不行了详情回复发表于昨天 11:00

Zap

搞不定详情回复发表于昨天 09:45

Zap

是哦以C:\Windows\explorer.exe为例第一个是名称ICO_MYCOMPUTER 应该转换为字符详情回复发表于昨天 00:40

527104427 发表于前天 17:50

红毛樱木发表于 2025-11-5 16:14
这玩意写的太累人了。坐了一天，快点给钱吧

牛逼！目测这代码值一千块钱

红毛樱木 发表于 前天 16:19

红毛樱木发表于 2025-11-5 16:14
这玩意写的太累人了。坐了一天，快点给钱吧

这代码应该还有地方有偏移地址计算错的。 ENVI &&IMAGE_DIRECTORY_ENTRY_RESOURCE=0 才可以，实际看源码是 ENVI &&IMAGE_DIRECTORY_ENTRY_RESOURCE=2。你看看自己能不能解决吧，解决不了回头我再看看。

点评

红毛樱木

更正后的代码。 C++源码你自己改吧.... 详情回复发表于前天 23:36

红毛樱木 发表于 前天 16:14

本帖最后由红毛樱木于 2025-11-5 16:16 编辑

Zap 发表于 2025-11-3 23:07
获取程序图标组中第一个图标的ID
定位 RT_GROUP_ICON（类型ID=14）的资源目录，跳过无关资源类型。
...

//LOGS * %&CurDir%\log.log
ENVI^ ENVIMODE=1
// PECMD2012 内部本身就是宽字符Unicode。路径\\可以直接写真实路径\，自动转义。
ENVI &exePath=D:\软件\Photoshop\Photoshop.exe
CALL GetFirstIconGroupID "%&exePath%" &iconId
MESS. 第一个图标ID: %&iconId%@
_SUB GetFirstIconGroupID
ENVI &&exePath=%~1
ENVI &&GENERIC_READ=0x80000000
ENVI &&FILE_SHARE_READ=0x00000001
ENVI &&OPEN_EXISTING=3
ENVI &&INVALID_HANDLE_VALUE=-1
CALL$--qd --ret:&&hFile Kernel32.dll,CreateFileW,$%&exePath%,#%&GENERIC_READ%,#%&FILE_SHARE_READ%,#0,#%&OPEN_EXISTING%,#0,#0 // C中的NULL就是0，在PECMD中用数值 #0
IFEX #%&hFile%=%&INVALID_HANDLE_VALUE%,
{*
EXIT= 0
EXIT _SUB
}
CALL$--qd --ret:&&fileSize Kernel32.dll,GetFileSize,#%&hFile%,#0
ENVI &&PAGE_READONLY=0x02
CALL$--qd --ret:&&hMap Kernel32.dll,CreateFileMappingW,#%&hFile%,#0,#%&PAGE_READONLY%,#0,#%&fileSize%,0 //CreateFileMapping 要用实际的 CreateFileMappingW
ENVI &&FILE_MAP_READ=0x0004
CALL$--qd --16 --ret:&&pBase Kernel32.dll,MapViewOfFile,#%&hMap%,#%&FILE_MAP_READ%,#0,#0,#0
//MESS. %&pBase%@&pBase
IFEX #%&pBase%=0,
{*
CALL$--qd --bool --ret:&&CloseHandleRet Kernel32.dll,CloseHandle,#%&hMap%
CALL$--qd --bool --ret:&&CloseHandleRet Kernel32.dll,CloseHandle,#%&hFile%
ENVI-ret %~2=0
EXIT _SUB
}
// PIMAGE_DOS_HEADER 的结构体 IMAGE_DOS_HEADER 64字节
//SET$# &dos=*64 0
SET-mkfixdummy &dos=%&pBase%@0;*64
SET?longs dos=&&dos.e_lfanew:60
//MESS. %&dos.e_lfanew%@&dos.e_lfanew
// PIMAGE_NT_HEADERS 的结构体(64位为 IMAGE_NT_HEADERS64 大小 264字节)(32位为 IMAGE_NT_HEADERS32 大小 248字节)
IFEX #%&bX64%=3,
{*
//SET$# &nt=*264 0
SET-mkfixdummy &nt=(%&pBase%+%&dos.e_lfanew%)@0;*264
}!
{*
//SET$# &nt=*248 0
SET-mkfixdummy &nt=(%&pBase%+%&dos.e_lfanew%)@0;*248
}
//GETF &nt,0#*,&&nt_Hex
//MESS. %&nt_Hex%@&nt_Hex
SET?long nt=&&nt.Signature:0
//MESS. %&nt.Signature%@&nt.Signature
ENVI &&IMAGE_NT_SIGNATURE=0x00004550 // PE00
IFEX #%&nt.Signature%<>%&IMAGE_NT_SIGNATURE%,
{*
CALL$--qd --bool --ret:&&UnmapViewOfFileRet Kernel32.dll,UnmapViewOfFile,#%&pBase%;
CALL$--qd --bool --ret:&&CloseHandleRet Kernel32.dll,CloseHandle,#%&hMap%
CALL$--qd --bool --ret:&&CloseHandleRet Kernel32.dll,CloseHandle,#%&hFile%
ENVI-ret %~2=0
EXIT _SUB
}
// 定位资源目录
// auto& resDir = nt->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_RESOURCE];
//ENVI &&IMAGE_DIRECTORY_ENTRY_RESOURCE=2 // Resource Directory
ENVI &&IMAGE_DIRECTORY_ENTRY_RESOURCE=0 // 测试
IFEX #%&bX64%=3,
{*
SET-mkfixdummy &resDir=&nt@(4+20+112+(8*%&IMAGE_DIRECTORY_ENTRY_RESOURCE%));*8
}!
{*
SET-mkfixdummy &resDir=&nt@(4+20+96+(8*%&IMAGE_DIRECTORY_ENTRY_RESOURCE%));*8
}
//GETF &resDir,0#*,&&resDir_Hex
//MESS. %&resDir_Hex%@&resDir_Hex
SET?long resDir=&&resDir.VirtualAddress:0
//MESS. %&resDir.VirtualAddress%@&resDir.VirtualAddress
// 定位资源节（.rsrc）
ENVI &&i=0
SET?shorts nt=&&nt.FileHeader.NumberOfSections:(4+2) //WORD 2 字节，用short和wchar都可以
//MESS. %&nt.FileHeader.NumberOfSections%@&nt.FileHeader.NumberOfSections
SET?shorts nt=&&nt.FileHeader.SizeOfOptionalHeader:(4+2+2+4+4+4)
//MESS. %&nt.FileHeader.SizeOfOptionalHeader%@&nt.FileHeader.SizeOfOptionalHeader
//SET-mkfixdummy &section=&nt
LOOP #%&i%<%&nt.FileHeader.NumberOfSections%,
{*
//#define IMAGE_FIRST_SECTION( ntheader ) ((PIMAGE_SECTION_HEADER) ((ULONG_PTR)(ntheader) + FIELD_OFFSET( IMAGE_NT_HEADERS, OptionalHeader ) + ((ntheader))->FileHeader.SizeOfOptionalHeader ))
SET-mkfixdummy &section=(%&pBase%+%&dos.e_lfanew%+(4+20+%&nt.FileHeader.SizeOfOptionalHeader%))@(40*%&i%);*40 // 相当于 section++
//GETF &section,0#40,&&section_Hex
//MESS. %&section_Hex%@&section_Hex
SET?long section=&&section.VirtualAddress:12
//MESS. &section.VirtualAddress:%&section.VirtualAddress%@%&i%
SET?long section=&&section.Misc.VirtualSize:8
//MESS. IFEX #[ ( %&resDir.VirtualAddress% >= %&section.VirtualAddress% ) & ( %&resDir.VirtualAddress% < ( %&section.VirtualAddress% + %&section.Misc.VirtualSize% ) ) ],@%&i%
//IFEX #[ ( %&resDir.VirtualAddress% >= %&section.VirtualAddress% ) & ( %&resDir.VirtualAddress% < ( %&section.VirtualAddress% + %&section.Misc.VirtualSize% ) ) ], // IFEX 存在BUG，不能这样嵌套使用，先算出来吧。
IFEX #%&resDir.VirtualAddress% >= %&section.VirtualAddress%,
{*
CALC &&Fix=%&section.VirtualAddress% + %&section.Misc.VirtualSize%
IFEX #%&resDir.VirtualAddress% < %&Fix%,
{*
EXIT LOOP
}
}
CALC #&i=%&i% + 1
}
// 计算资源目录在文件中的实际偏移
SET?long section=&&section.PointerToRawData:20
CALC #&&resOffset=%&resDir.VirtualAddress% - %&section.VirtualAddress% + %&section.PointerToRawData%
//MESS. %&resOffset%<&i:%&i%><CALC #&&resOffset=%&resDir.VirtualAddress% - %&section.VirtualAddress% + %&section.PointerToRawData%>@&resOffset
SET-mkfixdummy &rootDir=(%&pBase%+%&resOffset%)@0;*16
SET?short rootDir=&&rootDir.NumberOfIdEntries:(4+4+2+2+2)
//MESS. %&rootDir.NumberOfIdEntries%@&rootDir.NumberOfIdEntries
// 遍历资源类型，找到 RT_GROUP_ICON（ID=14）
//SET-mkfixdummy &typeEntry=(%&pBase%+%&resOffset%)@16;*8
//GETF &typeEntry,0#8,&&typeEntry_Hex
//MESS. %&typeEntry_Hex%@&typeEntry_Hex
ENVI &&i=0
LOOP #%&i%<%&rootDir.NumberOfIdEntries%,
{*
SET-mkfixdummy &typeEntry=(%&pBase%+%&resOffset%)@(16+(8*%&i%));*8
SET?short typeEntry=&&typeEntry.Id:0
//MESS. %&typeEntry.Id%@%&i%
IFEX #%&typeEntry.Id%=14, // RT_GROUP_ICON = 14
{*
// 获取第一个图标ID（进入ID目录的第一个条目）
SET?long typeEntry=&&typeEntry.OffsetToDirectory:4
CALC #&typeEntry.OffsetToDirectory=%&typeEntry.OffsetToDirectory% & 0x7FFFFFFF
SET-mkfixdummy &iconDir=(%&pBase%+%&resOffset%)@%&typeEntry.OffsetToDirectory%;*16
SET-mkfixdummy &iconIdEntry=(%&pBase%+%&resOffset%)@(%&typeEntry.OffsetToDirectory%+16);*8
SET?short iconIdEntry=&&iconIdEntry.Id:0
CALC &&firstIconId=%&iconIdEntry.Id% // 不知道源码这里为什么用DWORD计算WORD
//MESS. %&firstIconId%@
CALL$--qd --bool --ret:&&UnmapViewOfFileRet Kernel32.dll,UnmapViewOfFile,#%&pBase%;
CALL$--qd --bool --ret:&&CloseHandleRet Kernel32.dll,CloseHandle,#%&hMap%
CALL$--qd --bool --ret:&&CloseHandleRet Kernel32.dll,CloseHandle,#%&hFile%
ENVI-ret~ %~2=&firstIconId
EXIT _SUB
}
CALC #&i=%&i% + 1
}
CALL$--qd --bool --ret:&&UnmapViewOfFileRet Kernel32.dll,UnmapViewOfFile,#%&pBase%;
CALL$--qd --bool --ret:&&CloseHandleRet Kernel32.dll,CloseHandle,#%&hMap%
CALL$--qd --bool --ret:&&CloseHandleRet Kernel32.dll,CloseHandle,#%&hFile%
ENVI-ret %~2=0
_END
EXIT FILE
typedef struct _IMAGE_RESOURCE_DIRECTORY_ENTRY {
union {
struct {
DWORD NameOffset:31;
DWORD NameIsString:1;
} DUMMYSTRUCTNAME;
DWORD Name;
WORD Id;
} DUMMYUNIONNAME;
union {
DWORD OffsetToData;
struct {
DWORD OffsetToDirectory:31;
DWORD DataIsDirectory:1;
} DUMMYSTRUCTNAME2;
} DUMMYUNIONNAME2;
} IMAGE_RESOURCE_DIRECTORY_ENTRY, *PIMAGE_RESOURCE_DIRECTORY_ENTRY; //8b
typedef struct _IMAGE_RESOURCE_DIRECTORY {
DWORD Characteristics;
DWORD TimeDateStamp;
WORD MajorVersion;
WORD MinorVersion;
WORD NumberOfNamedEntries;
WORD NumberOfIdEntries;
// IMAGE_RESOURCE_DIRECTORY_ENTRY DirectoryEntries[];
} IMAGE_RESOURCE_DIRECTORY, *PIMAGE_RESOURCE_DIRECTORY; /16b
typedef struct _IMAGE_SECTION_HEADER {
BYTE Name[IMAGE_SIZEOF_SHORT_NAME];
union {
DWORD PhysicalAddress;
DWORD VirtualSize;
} Misc;
DWORD VirtualAddress;
DWORD SizeOfRawData;
DWORD PointerToRawData;
DWORD PointerToRelocations;
DWORD PointerToLinenumbers;
WORD NumberOfRelocations;
WORD NumberOfLinenumbers;
DWORD Characteristics;
} IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER; //40b
typedef struct _IMAGE_DOS_HEADER { // DOS .EXE header
WORD e_magic; // Magic number
WORD e_cblp; // Bytes on last page of file
WORD e_cp; // Pages in file
WORD e_crlc; // Relocations
WORD e_cparhdr; // Size of header in paragraphs
WORD e_minalloc; // Minimum extra paragraphs needed
WORD e_maxalloc; // Maximum extra paragraphs needed
WORD e_ss; // Initial (relative) SS value
WORD e_sp; // Initial SP value
WORD e_csum; // Checksum
WORD e_ip; // Initial IP value
WORD e_cs; // Initial (relative) CS value
WORD e_lfarlc; // File address of relocation table
WORD e_ovno; // Overlay number
WORD e_res[4]; // Reserved words
WORD e_oemid; // OEM identifier (for e_oeminfo)
WORD e_oeminfo; // OEM information; e_oemid specific
WORD e_res2[10]; // Reserved words
LONG e_lfanew; // File address of new exe header
} IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER; //64b
typedef struct _IMAGE_FILE_HEADER {
WORD Machine;
WORD NumberOfSections;
DWORD TimeDateStamp;
DWORD PointerToSymbolTable;
DWORD NumberOfSymbols;
WORD SizeOfOptionalHeader;
WORD Characteristics;
} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER; //20b
typedef struct _IMAGE_DATA_DIRECTORY {
DWORD VirtualAddress;
DWORD Size;
} IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY; //8b
typedef struct _IMAGE_OPTIONAL_HEADER {
//
// Standard fields.
//
WORD Magic;
BYTE MajorLinkerVersion;
BYTE MinorLinkerVersion;
DWORD SizeOfCode;
DWORD SizeOfInitializedData;
DWORD SizeOfUninitializedData;
DWORD AddressOfEntryPoint;
DWORD BaseOfCode;
DWORD BaseOfData;
//
// NT additional fields.
//
DWORD ImageBase;
DWORD SectionAlignment;
DWORD FileAlignment;
WORD MajorOperatingSystemVersion;
WORD MinorOperatingSystemVersion;
WORD MajorImageVersion;
WORD MinorImageVersion;
WORD MajorSubsystemVersion;
WORD MinorSubsystemVersion;
DWORD Win32VersionValue;
DWORD SizeOfImage;
DWORD SizeOfHeaders;
DWORD CheckSum;
WORD Subsystem;
WORD DllCharacteristics;
DWORD SizeOfStackReserve;
DWORD SizeOfStackCommit;
DWORD SizeOfHeapReserve;
DWORD SizeOfHeapCommit;
DWORD LoaderFlags;
DWORD NumberOfRvaAndSizes;
IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES]; //偏移地址 96b
} IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32;
typedef struct _IMAGE_OPTIONAL_HEADER64 {
WORD Magic;
BYTE MajorLinkerVersion;
BYTE MinorLinkerVersion;
DWORD SizeOfCode;
DWORD SizeOfInitializedData;
DWORD SizeOfUninitializedData;
DWORD AddressOfEntryPoint;
DWORD BaseOfCode;
ULONGLONG ImageBase;
DWORD SectionAlignment;
DWORD FileAlignment;
WORD MajorOperatingSystemVersion;
WORD MinorOperatingSystemVersion;
WORD MajorImageVersion;
WORD MinorImageVersion;
WORD MajorSubsystemVersion;
WORD MinorSubsystemVersion;
DWORD Win32VersionValue;
DWORD SizeOfImage;
DWORD SizeOfHeaders;
DWORD CheckSum;
WORD Subsystem;
WORD DllCharacteristics;
ULONGLONG SizeOfStackReserve;
ULONGLONG SizeOfStackCommit;
ULONGLONG SizeOfHeapReserve;
ULONGLONG SizeOfHeapCommit;
DWORD LoaderFlags;
DWORD NumberOfRvaAndSizes;
IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES]; //偏移地址 112b
} IMAGE_OPTIONAL_HEADER64, *PIMAGE_OPTIONAL_HEADER64;
typedef struct _IMAGE_NT_HEADERS64 {
DWORD Signature;
IMAGE_FILE_HEADER FileHeader;
IMAGE_OPTIONAL_HEADER64 OptionalHeader;
} IMAGE_NT_HEADERS64, *PIMAGE_NT_HEADERS64;
typedef struct _IMAGE_NT_HEADERS {
DWORD Signature;
IMAGE_FILE_HEADER FileHeader;
IMAGE_OPTIONAL_HEADER32 OptionalHeader;
} IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;
#include <windows.h>
#include <stdio.h>
DWORD GetFirstIconGroupID(LPCWSTR exePath) {
HANDLE hFile = CreateFileW(exePath, GENERIC_READ, FILE_SHARE_READ, NULL, OPEN_EXISTING, 0, NULL);
if (hFile == INVALID_HANDLE_VALUE) return 0;
DWORD fileSize = GetFileSize(hFile, NULL);
HANDLE hMap = CreateFileMapping(hFile, NULL, PAGE_READONLY, 0, fileSize, NULL);
LPVOID pBase = MapViewOfFile(hMap, FILE_MAP_READ, 0, 0, 0);
if (!pBase) { CloseHandle(hMap); CloseHandle(hFile); return 0; }
PIMAGE_DOS_HEADER dos = (PIMAGE_DOS_HEADER)pBase;
PIMAGE_NT_HEADERS nt = (PIMAGE_NT_HEADERS)((BYTE*)pBase + dos->e_lfanew);
if (nt->Signature != IMAGE_NT_SIGNATURE) { UnmapViewOfFile(pBase); CloseHandle(hMap); CloseHandle(hFile); return 0; }
// 定位资源目录
auto& resDir = nt->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_RESOURCE];
if (resDir.VirtualAddress == 0) { UnmapViewOfFile(pBase); CloseHandle(hMap); CloseHandle(hFile); return 0; }
// 定位资源节（.rsrc）
PIMAGE_SECTION_HEADER section = IMAGE_FIRST_SECTION(nt);
for (int i = 0; i < nt->FileHeader.NumberOfSections; i++, section++) {
if (resDir.VirtualAddress >= section->VirtualAddress &&
resDir.VirtualAddress < section->VirtualAddress + section->Misc.VirtualSize) break;
}
// 计算资源目录在文件中的实际偏移
DWORD resOffset = resDir.VirtualAddress - section->VirtualAddress + section->PointerToRawData;
PIMAGE_RESOURCE_DIRECTORY rootDir = (PIMAGE_RESOURCE_DIRECTORY)((BYTE*)pBase + resOffset);
// 遍历资源类型，找到 RT_GROUP_ICON（ID=14）
PIMAGE_RESOURCE_DIRECTORY_ENTRY typeEntry = (PIMAGE_RESOURCE_DIRECTORY_ENTRY)(rootDir + 1);
for (DWORD i = 0; i < rootDir->NumberOfIdEntries; i++, typeEntry++) {
if (typeEntry->Id == 14) { // RT_GROUP_ICON = 14
// 获取第一个图标ID（进入ID目录的第一个条目）
PIMAGE_RESOURCE_DIRECTORY iconDir = (PIMAGE_RESOURCE_DIRECTORY)((BYTE*)rootDir + typeEntry->OffsetToDirectory);
PIMAGE_RESOURCE_DIRECTORY_ENTRY iconIdEntry = (PIMAGE_RESOURCE_DIRECTORY_ENTRY)(iconDir + 1);
DWORD firstIconId = iconIdEntry->Id;
UnmapViewOfFile(pBase);
CloseHandle(hMap);
CloseHandle(hFile);
return firstIconId;
}
}
UnmapViewOfFile(pBase);
CloseHandle(hMap);
CloseHandle(hFile);
return 0;
}
// 调用示例：获取 Photoshop.exe 的第一个图标ID
int main() {
LPCWSTR exePath = L"D:\\软件\\Photoshop\\Photoshop.exe";
DWORD iconId = GetFirstIconGroupID(exePath);
printf("第一个图标ID: %u\n", iconId); // 输出：1000 或 1 等
return 0;
}

复制代码

这玩意写的太累人了。坐了一天，快点给钱吧

点评

527104427

牛逼！目测这代码值一千块钱详情回复发表于前天 17:50

红毛樱木

这代码应该还有地方有偏移地址计算错的。 ENVI &&IMAGE_DIRECTORY_ENTRY_RESOURCE=0 才可以，实际看源码是 ENVI &&IMAGE_DIRECTORY_ENTRY_RESOURCE=2。你看看自己能不能解决吧，解决不了回头我再看看。详情回复发表于前天 16:19

红毛樱木 发表于 前天 10:33

Zap 发表于 2025-11-3 23:07
获取程序图标组中第一个图标的ID
定位 RT_GROUP_ICON（类型ID=14）的资源目录，跳过无关资源类型。
...

这里有几个结构体，要用PECMD搞，太烦了。

5315929 发表于 3 天前

谢谢楼主分享

Zap 发表于 4 天前

获取程序图标组中第一个图标的ID
定位 RT_GROUP_ICON（类型ID=14）的资源目录，跳过无关资源类型。
简化偏移计算，利用PE文件的 IMAGE_DATA_DIRECTORY 直接定位资源节。
求翻译PECMD怎样写

#include <windows.h>
#include <stdio.h>
DWORD GetFirstIconGroupID(LPCWSTR exePath) {
HANDLE hFile = CreateFileW(exePath, GENERIC_READ, FILE_SHARE_READ, NULL, OPEN_EXISTING, 0, NULL);
if (hFile == INVALID_HANDLE_VALUE) return 0;
DWORD fileSize = GetFileSize(hFile, NULL);
HANDLE hMap = CreateFileMapping(hFile, NULL, PAGE_READONLY, 0, fileSize, NULL);
LPVOID pBase = MapViewOfFile(hMap, FILE_MAP_READ, 0, 0, 0);
if (!pBase) { CloseHandle(hMap); CloseHandle(hFile); return 0; }
PIMAGE_DOS_HEADER dos = (PIMAGE_DOS_HEADER)pBase;
PIMAGE_NT_HEADERS nt = (PIMAGE_NT_HEADERS)((BYTE*)pBase + dos->e_lfanew);
if (nt->Signature != IMAGE_NT_SIGNATURE) { UnmapViewOfFile(pBase); CloseHandle(hMap); CloseHandle(hFile); return 0; }
// 定位资源目录
auto& resDir = nt->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_RESOURCE];
if (resDir.VirtualAddress == 0) { UnmapViewOfFile(pBase); CloseHandle(hMap); CloseHandle(hFile); return 0; }
// 定位资源节（.rsrc）
PIMAGE_SECTION_HEADER section = IMAGE_FIRST_SECTION(nt);
for (int i = 0; i < nt->FileHeader.NumberOfSections; i++, section++) {
if (resDir.VirtualAddress >= section->VirtualAddress &&
resDir.VirtualAddress < section->VirtualAddress + section->Misc.VirtualSize) break;
}
// 计算资源目录在文件中的实际偏移
DWORD resOffset = resDir.VirtualAddress - section->VirtualAddress + section->PointerToRawData;
PIMAGE_RESOURCE_DIRECTORY rootDir = (PIMAGE_RESOURCE_DIRECTORY)((BYTE*)pBase + resOffset);
// 遍历资源类型，找到 RT_GROUP_ICON（ID=14）
PIMAGE_RESOURCE_DIRECTORY_ENTRY typeEntry = (PIMAGE_RESOURCE_DIRECTORY_ENTRY)(rootDir + 1);
for (DWORD i = 0; i < rootDir->NumberOfIdEntries; i++, typeEntry++) {
if (typeEntry->Id == 14) { // RT_GROUP_ICON = 14
// 获取第一个图标ID（进入ID目录的第一个条目）
PIMAGE_RESOURCE_DIRECTORY iconDir = (PIMAGE_RESOURCE_DIRECTORY)((BYTE*)rootDir + typeEntry->OffsetToDirectory);
PIMAGE_RESOURCE_DIRECTORY_ENTRY iconIdEntry = (PIMAGE_RESOURCE_DIRECTORY_ENTRY)(iconDir + 1);
DWORD firstIconId = iconIdEntry->Id;
UnmapViewOfFile(pBase);
CloseHandle(hMap);
CloseHandle(hFile);
return firstIconId;
}
}
UnmapViewOfFile(pBase);
CloseHandle(hMap);
CloseHandle(hFile);
return 0;
}
// 调用示例：获取 Photoshop.exe 的第一个图标ID
int main() {
LPCWSTR exePath = L"D:\\软件\\Photoshop\\Photoshop.exe";
DWORD iconId = GetFirstIconGroupID(exePath);
printf("第一个图标ID: %u\n", iconId); // 输出：1000 或 1 等
return 0;
}

复制代码

点评

红毛樱木

这玩意写的太累人了。坐了一天，快点给钱吧详情回复发表于前天 16:14

红毛樱木

这里有几个结构体，要用PECMD搞，太烦了。详情回复发表于前天 10:33

a66 发表于 2025-10-16 16:31:44

经典资源，收藏备用

a66 发表于 2025-10-16 16:31:33

正需要，很不错

a66 发表于 2025-10-16 16:31:20

支持大佬，收下备用！

a66 发表于 2025-10-16 16:30:38

干货满满！很给力~

a66 发表于 2025-10-16 13:30:58

测试

a66 发表于 2025-10-16 13:30:38

好东西

a66 发表于 2025-10-16 12:17:54

多看多学习，支持一下！

a66 发表于 2025-10-16 12:17:21

多窗口

		自动登录	找回密码
密码			注册

正文摘要:

回复

点评

点评

点评

点评

点评

点评

点评

评分

点评

点评

点评

点评

点评

点评

点评

点评

点评

点评

点评

点评

点评