任何第三方可以從我的項目中加載嵌入式資源嗎？

Question

請參閱我的previous questions之一。我正在詢問從DLL加載編譯資源。然後參考David Heffernan的答案。他的建議是使用內置機制直接從DLL的實例加載資源，甚至不使用我自己的導出函數。這給我指出了一個安全漏洞。

如果確實如此，如果這種類型的解決方案是可行的，那麼任何外部第三方可以從任何Delphi應用程序/ DLL中加載資源？嵌入資源的安全性如何？假設我編譯一個嵌入資源的DLL。有人可以使用此DLL並提取資源嗎？考慮到他們必須知道資源名稱，它有多容易？他們是否能夠檢測到編譯的資源並獲取已命名資源的列表？如果是這樣的話，那麼我將不得不實現我自己的安全級別並加密每個嵌入式資源並使用登錄進行解密。

Answer 1

資源部分的Windows Portable Executable是可訪問的，並且可枚舉給任何具有對可執行文件的讀特權的進程/用戶。

Windows API來work with resources提供了一系列功能，包括功能：

• 添加，刪除和替換資源
• 枚舉資源
• 查找和加載資源
• 資源文件格式
• 使用資源

事實上，有很多現成的工具可以執行此操作。您自己的Delphi安裝有一個名爲資源瀏覽器的演示項目，通常安裝在文件夾Samples\Delphi\VCL\resXplor中。

正如您所見，任何知識和/或tools的人不僅可以讀取，而且可以刪除和替換windows可執行文件中找到的資源，而不管生成它的編譯器如何。

您可以在文章An In-Depth Look into the Win32 Portable Executable File Format中找到有關PE文件格式的更多信息。