业精于勤,荒于嬉
全部博文(763)
分类: C/C++
2010-03-02 15:06:00
本文转自《》一书
5.1.3 分析BMP图像文件结构结合上面对BMP文件的分析,下面分别对256色和24位色的BMP图像进行十六进制分析,通过在十六进制编辑器中分析文件结构,能够增加分析文件的经验。
如图5-1和图5-2所示,分别为256色BMP图像cat2.bmp和24位色BMP图像cat1.bmp。其中cat2.bmp图像的分辨率为200×153,文件大小为31 680字节。cat1.bmp图像的分辨率为200×150,文件大小为90 056字节。
图5-1 cat2.bmp图像 图5-2 cat1.bmp图像
现在来分析cat2.bmp的图像文件,在Winhex中打开cat2.bmp,如图5-3所示。
图5-3 在Winhex中打开cat2.bmp图像文件
首先分析位图文件头的结构,如图5-4所示。根据BMP文件的位图文件头结构定义分析出cat2.bmp图像的位图文件头中各字段的含义,如表5-6所示。
图5-4 cat2.bmp图像文件的位图文件头
表5-6 cat2.bmp图像文件中位图文件头各字段的含义
| 十六进制值 | 描 述 |
| 42 4D: | BM的ASCII值,在Windows中的BMP文件标识符 |
| C0 7B 00 00 | 7B C0h=31680,是cat2文件的大小 |
| 00 00 00 00 | 保留值,总为0 |
| 36 04 00 | 436h=1078,是图像数据的地址,即文件头+信息头+调色板的长度 |
继续分析接下来的数据,根据BMP文件结构的定义,接下来的数据是位图信息头,cat2.bmp图像文件的位图信息头的内容如图5-5所示。
图5-5 cat2.bmp图像的位图信息头
表5-7所示为cat2.bmp图像文件中位图信息头各字段的含义。
表5-7 cat2.bmp图像文件中位图信息头各字段的含义
| 十六进制值 | 描 述 |
| 28 00 00 00: | cat2.bmp图像的位图信息头大小 |
| C8 00 00 00 | 00 00 00 C8 = 200,是cat2图像的宽度,单位像素 |
| 99 00 00 00 | 00 00 00 99 = 153,是cat2图像的高度,单位像素 |
| 01 00 | 总是1 |
| 08 00 | 00 08 = 8,cat2图像的色深,即2的8次幂等于256色 |
| 00 00 00 00 | 压缩方式,0表示不压缩 |
| 8A 77 00 00 | 00 00 77 8A = 30602,是cat2图像的图像数据大小,单位字节 |
| 12 0B 00 00 | 00 00 0B 12 = 2834,cat2图像的水平分辨率,单位像素/m |
| 12 0B 00 00 | 00 00 0B 12 = 2834,cat2图像的垂直分辨率,单位像素/m |
| 00 00 00 00 | cat2图像使用的颜色数,0表示使用全部颜色 |
| 00 00 00 00 | cat2图像中重要的颜色数,0表示所有颜色都重要 |
继续分析接下来的数据,根据BMP文件结构的定义,因为cat2.bmp图像是256色的位图,所以应该有256个调色板,每个调色板占4字节,整个调色板一共1024字节大小。 cat2.bmp图像文件的调色板数据如图5-6和图5-7所示。
图5-6 cat2.bmp图像的调色板地址从00000036h开始存储
图5-7 cat2.bmp图像的调色板数据结束地址是00000435h
从图5-6和图5-7中可以看出,cat2.bmp图像的调色板地址从00000036h开始到00000435h结束,即00000435h – 00000036h + 1 =400h = 1024。
如果想查看cat2图像的调色板对应的实际显示颜色,可以使用Adobe Photoshop CS打开cat2.bmp,在Adobe Photoshop CS的菜单栏中选择“图像”→“模式”→“颜色表”,即可观看cat2的调色板,如图5-8所示。
图5-8所示cat2.bmp的调色板颜色和图5-6中的十六进制数据是一一对应的。在Adobe Photoshop CS的调色板上单击任何一个像素的颜色即可弹出一个拾色器对话框显示该像素颜色的详细组成信息。cat2.bmp调色板和cat2.bmp的十六进制数据的对应关系如图5-9所示。
继续分析接下来的数据,根据BMP文件结构的定义,如果一个图像有调色板,那么紧跟在调色板后面的是图像的数据,这些数据不是实际的颜色值,而是指向调色板数组的索引,根据索引来获取调色板中的颜色,如图5-10所示。
图5-9 cat2.bmp调色板和cat2.bmp的十六进制数据的对应关系
图5-10 cat2.bmp的图像数据
因为cat2.bmp是256色的位图,即采用了8位色深作为指向调色板数组的索引,所以根据图5-10中显示的数据可以得知:49 49 49 B1 49 49 49 49 49 99表示cat2.bmp位图左下角第1个像素的颜色等于调色板[49],第2个像素的颜色等于调色板[49] ,第3个像素的颜色等于调色板[49] ,第4个像素的颜色等于调色板[B1]……依此类推。分析完cat2.bmp图像之后,接下来分析的是cat1.bmp。
cat1.bmp图像是24位色图像,根据BMP文件结构定义得知,cat1.bmp图像没有调色板,图像数据存储的是实际的颜色数据,每个像素用3字节表示,分别是红绿蓝。由于cat1.bmp和cat2.bmp的位图文件头和位图信息头结构一样,所以cat1.bmp的位图文件头和位图信息头可以参考上面对cat2.bmp的分析,下面从cat1.bmp的位图信息头结束的位置开始分析,如图5-11所示。
图5-11 cat1.bmp图像的图像数据
从图5-11可以看到表示每个像素的红绿蓝三色的值,实际存放的时候是倒过来存放的,在分析BMP图像格式时需要注意这点。
通过上面对BMP文件存储结构的分析发现,BMP文件的位图文件头和位图信息头存在着大量的重复数据。如果存储大量同一色深的BMP位图,必然会浪费大量存储空间,所以很多时候游戏编程人员都会去掉BMP文件头和信息头,只保留几个必要的信息和图像数据,那么BMP文件头和信息头中哪几个字段是必须保留的呢?
使用Winhex的文件比较功能比较两个24位色深的BMP图像文件,观察两个文件的文件头和信息头有什么不同的地方,如图5-12所示。
图5-12 使用Winhex比较两个24位色深的BMP图像文件
从图5-12可以看出,两个色深相同的BMP图像的文件头和信息头一共有4处不同的地方,分别是文件头的文件大小、信息头的图像宽度、图像高度和图像数据大小。
所以很多时候,游戏编程人员只保留图像文件的文件大小、图像宽度、图像高度和图像数据大小信息,甚至有时不需要保留文件大小这个数值,使用图像数据大小数值即可。
在分析未知文件存储格式时,如果遇到去掉了文件头的文件时,如上面所说的BMP文件,会给分析未知文件格式带来一定的困难。这时需要使用十六进制编辑器的文件比较功能,观察两个同类的未知文件格式寻找某些潜在的规律,如果实在观察不出规律的,那只能使用白盒分析方法,对调用此未知文件格式的程序进行反汇编跟踪调试了。当然,有时灵感和运气也很重要。
