Articles

通过代码实现EXE文件图标的替换

最近,好多人问我如何通过写个小程序,动态替换可执行文件的图标。这个问题看起来虽 小,但却涉及到很多问题。网上也只能找到一些零零散散的资料,却没有详细的指导性文 档。所以我决定把这个问题写下来,以方便大家查阅。

EXE文件图标的替换有很多方法,例如用一个EXE文件的图标替换另外一个EXE文件的图标; 用一个ICO文件内的图标替换EXE文件的图标。这两种情况替换的方法不太相同,下面会详 细讨论。

EXE文件图标的替换更一般的情形,是PE(Portable Executable)文件图标的替换。只不过 Windows操作系统只会显示EXE文件的图标罢了。但DLL、OCX等PE文件也都可以包含图标资 源。下面我们从ICO文件格式说起,一步步讲解替换EXE文件图标的方法和原理。

.ico文件中图标的保存格式

对于一个扩展名是.ico的文件,大部分人会认为一个ICO文件里面只能包含一个图标。但事 实上,一个ICO文件里面可以包含很多图标。而且,目前大部分 ICO文件里面都包含有不同 尺寸、不同色深的好几个图标。我们以MSN安装包里的msnmsn.ico为例,这个图标文件就包 含了9个不同尺寸、不同色深的图标,如图所示:

这样做的目的,是为了保证不同的操作系统、不同的桌面色深,图标显示均可达到最佳效 果。操作系统会选择并显示一个最合适的图标。Windows XP支持32位色的图标,Windows 2000最多只支持 256色的图标。所以,如果我们开发的软件若要同时支持 Windows XP和 2000,那么为了达到视觉上的最佳效果,每一个 ICO文件应至少包含两个图标,一个是32 位色的,一个是256色的。 ICO文件头部结构定义如下:

typedef struct
{
  // Reserved (must be 0)
  WORD idReserved;
  // Resource Type (1 for icons)
  WORD idType;
  // How many images?
  WORD idCount;
  // An entry for each image (idCount of 'em)
  ICONDIRENTRY idEntries[1];
} ICONDIR, *LPICONDIR;

idCount表示该ICO文件包含图标的数量,所以理论上,一个ICO文件最多可以包含 65535个 图标。接下来,是该文件所包含的每一个图标的描述。

typedef struct
{
  // Width, in pixels, of the image
  BYTE bWidth;
  // Height, in pixels, of the image
  BYTE bHeight;
  // Number of colors in image (0 if >=8bpp)
  BYTE bColorCount;
  // Reserved ( must be 0)
  BYTE bReserved;
  // Color Planes
  WORD wPlanes;
  // Bits per pixel
  WORD wBitCount;
  // How many bytes in this resource?
  DWORD dwBytesInRes;
  // Where in the file is this image?
  DWORD dwImageOffset;
} ICONDIRENTRY, *LPICONDIRENTRY;

ICONDIRENTRY中记录了每一个图标的尺寸、色深、图标资源占用的字节数。dwImageOffset 是一个文件偏移地址,指向图标资源数据起始位置。至于每一个图标资源内部的具体格式, 与本文关系不大,这里就不再详细介绍了。

PE文件中的图标保存格式

PE文件中的图标保存格式与.ico文件中图标的保存格式略有不同。PE文件中,把ICONDIR和 图标资源作为两种资源类型分别保存,前者是RT_GROUP_ICON类型,后者是RT_ICON 类型。为了与.ico文件中图标的保存格式做以区分,我们把PE文件中的图标保存格式重新 定义如下:

// #pragmas are used here to insure that the structure's
// packing in memory matches the packing of the EXE or DLL.
#pragma pack( push )
#pragma pack( 2 )
typedef struct
{
    WORD              idReserved;   // Reserved (must be 0)
    WORD              idType;       // Resource type (1 for icons)
    WORD              idount;       // How many images?
    GRPICONDIRENTRY   idEntries[1]; // The entries for each image
} GRPICONDIR, *LPGRPICONDIR;

typedef struct
{
    BYTE    bWidth;               // Width, in pixels, of the image
    BYTE    bHeight;              // Height, in pixels, of the image
    BYTE    bColorCount;          // Number of colors in image (0 if >=8bpp)
    BYTE    bReserved;            // Reserved
    WORD    wPlanes;              // Color Planes
    WORD    wBitCount;            // Bits per pixel
    DWORD   dwBytesInRes;         // how many bytes in this resource?
    WORD    nID;                  // the ID
} GRPICONDIRENTRY, *LPGRPICONDIRENTRY;
#pragma pack( pop )

这里有一个区别,就是在.ico文件中,ICONDIRENTRY结构最后一个成员dwImageOffset表示 的是图标资源文件偏移地址。而PE文件中,GRPICONDIRENTRY结构最后一个成员nID表示的 是图标的索引ID。

Windows API

Windows操作系统为我们提供了几个API函数,用来更新PE文件中资源的函数有: BeginUpdateResource, UpdateResource, EndUpdateResource。用来枚举PE文件中资源的 函数有:EnumResourceTypes,EnumResourceNames,EnumResourceLanguages。具体的使用 方法可以参见MSDN。

下面我们通过具体的例子,来验证上面的方案是否可行。

用一个EXE中的图标替换另外一个EXE文件的图标

在这个例子中,我们用Windows XP自带的记事本的图标替换计算器的图标。

记事本图标

计算器图标

下面代码演示了如何替换32×32 32bits的图标:

HMODULE hModule = ::LoadLibrary("notepad.exe");
HRSRC hResInfo = ::FindResource(hModule, MAKEINTRESOURCE(8), RT_ICON);
HGLOBAL hGlobal = ::LoadResource(hModule, hResInfo);
DWORD dwSize = ::SizeofResource(hModule, hResInfo);
void* pData = ::LockResource(hGlobal);

HANDLE hUpdate = ::BeginUpdateResource("calc.exe", FALSE);
VERIFY(::UpdateResource(hUpdate, RT_ICON, MAKEINTRESOURCE(7),
                        MAKELANGID(LANG_ENGLISH, SUBLANG_DEFAULT),
                        pData, dwSize));
VERIFY(::EndUpdateResource(hUpdate, FALSE));
VERIFY(::FreeLibrary(hModule));

大家肯定有个疑问,上面代MAKEINTRESOURCE(8)和MAKEINTRESOURCE(7)是怎么来的呢?其 实索引8和7分别是notepad.exe和calc.exe中,32×32 32bits图标的索引。我们可以通过加 载RT_GROUP_ICON资源,然后遍历GRPICONDIRENTRY中每一个图标的大小、色深,找到 这个图标的索引。为了简便,这里直接写死的索引号,省略了这一动态查找的过程。

还有一个疑问应该就MAKELANGID(LANG_ENGLISH, SUBLANG_DEFAULT)了。PE文件中,每 一个资源都至少对应一种语言。因为我的操作系统是英文的,所以记事本和计算器中的图 标资源语言也是英文的。对于简体中文Windows XP操作系统所自带的记事本和计算器,这 个值应该是MAKELANGID(LANG_CHINESE, SUBLANG_SYS_DEFAULT)

那么我们怎么才能知道一个PE文件中,图标资源的语言是什么呢?我们可以通过资源枚举 API,枚举所有图标、语言。可以参考上面提到过的那几个API函数,并查阅MSDN获取这些 函数的帮助文档。 我们用记事本32×32 32bits图标替换计算器同样尺寸、色深的图标后, 效果如下,在Titles显示方式下,图标大小是48×48的,图标没有被改变:

大家肯定有个疑问,上面代MAKEINTRESOURCE(8)和MAKEINTRESOURCE(7)是怎么来的呢?其 实索引8和7分别是notepad.exe和calc.exe中,32×32 32bits图标的索引。我们可以通过加 载RT_GROUP_ICON资源,然后遍历GRPICONDIRENTRY中每一个图标的大小、色深,找到 这个图标的索引。为了简便,这里直接写死的索引号,省略了这一动态查找的过程。

还有一个疑问应该就MAKELANGID(LANG_ENGLISH, SUBLANG_DEFAULT)了。PE文件中,每 一个资源都至少对应一种语言。因为我的操作系统是英文的,所以记事本和计算器中的图 标资源语言也是英文的。对于简体中文Windows XP操作系统所自带的记事本和计算器,这 个值应该是MAKELANGID(LANG_CHINESE, SUBLANG_SYS_DEFAULT)

那么我们怎么才能知道一个PE文件中,图标资源的语言是什么呢?我们可以通过资源枚举 API,枚举所有图标、语言。可以参考上面提到过的那几个API函数,并查阅MSDN获取这些 函数的帮助文档。 我们用记事本32×32 32bits图标替换计算器同样尺寸、色深的图标后, 效果如下,在Titles显示方式下,图标大小是48×48的,图标没有被改变:

在Icons显示方式下,图标大小是32×32的,图标被我们改变了:

用一个ICO文件中的图标替换另外一个EXE文件的图标

用ICO文件中的图标替换EXE文件图标稍微有点麻烦,我们必须借助数据结构ICONDIR和 ICONDIRENTRY来完成。我们使用msnms.ico中的32×32 32bits图标替换计算器中同样大小色 深的图标:

DWORD dwSize = sizeof(ICONDIRENTRY);

HANDLE hFile = ::CreateFile("msnms.ico", GENERIC_READ, FILE_SHARE_READ,
                            NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);
::SetFilePointer(hFile, sizeof(ICONDIR) + dwSize * 6, NULL, FILE_BEGIN);

DWORD dwRead = 0;
ICONDIRENTRY Entry;
VERIFY(::ReadFile(hFile, &Entry, dwSize, &dwRead, NULL));

::SetFilePointer(hFile, Entry.dwImageOffset, NULL, FILE_BEGIN);

void* pData = new char[Entry.dwImageOffset];
VERIFY(::ReadFile(hFile, pData, Entry.dwBytesInRes, &dwRead, NULL));

HANDLE hUpdate = ::BeginUpdateResource("calc.exe", FALSE);
VERIFY(::UpdateResource(hUpdate, RT_ICON, MAKEINTRESOURCE(7),
                        MAKELANGID(LANG_ENGLISH, SUBLANG_DEFAULT),
                        pData, Entry.dwBytesInRes));
VERIFY(::EndUpdateResource(hUpdate, FALSE));

delete[] pData;
pData = NULL;

VERIFY(::CloseHandle(hFile));

上面代码中sizeof(ICONDIR) + dwSize * 6的意思是定位到第8个标结构体ICONDIRENTRY的 位置,这个图标是32×32 32bits的。我们可以通过遍历每一个ICONDIRENTRY来判断,到底 哪个图标是这个尺寸的。这里我们为了简便,把这部分代码省略了。

定位到第8个图标结构体ICONDIRENTRY的位置后,Entry.dwImageOffset的值就是第8个图标 资源的文件偏移地址,Entry.dwBytesInRes的值是第8个图标图标资源的大小。然后我们将 文件指针定位到Entry.dwImageOffset,并读取Entry.dwBytesInRes大小的数据到指针 pData指向的内存当中。 最后,是替换文件图标资源的代码,这部分代码跟上一个例子是 相同的。

本文抛砖引玉,介绍了EXE文件图标的替换,但完全可以推广到所有PE文件图标的替换 (包括EXE、DLL等),也可推广到所有PE文件资源的替换(包括图标、图片、文字资源、 对话框模板、菜单等)。可供相关人员参考。