`
touchinsert
  • 浏览: 1334658 次
  • 性别: Icon_minigender_1
  • 来自: 北京
文章分类
社区版块
存档分类
最新评论

解读PE/COFF文件格式

阅读更多

Windows平台内开发操作系统,在用Cygwin版的GCC编译源文件是遇到这样一个问题,如果使用gcc –c bootpack.c会生成bootpack.o文件,使用HEX编辑器打开改文件你会看到这样的代码:

<shapetype id="_x0000_t75" stroked="f" filled="f" path="m@4@5l@4@11@9@11@9@5xe" o:preferrelative="t" o:spt="75" coordsize="21600,21600"><stroke joinstyle="miter"></stroke><formulas><f eqn="if lineDrawn pixelLineWidth 0"></f><f eqn="sum @0 1 0"></f><f eqn="sum 0 0 @1"></f><f eqn="prod @2 1 2"></f><f eqn="prod @3 21600 pixelWidth"></f><f eqn="prod @3 21600 pixelHeight"></f><f eqn="sum @0 0 1"></f><f eqn="prod @6 1 2"></f><f eqn="prod @7 21600 pixelWidth"></f><f eqn="sum @8 21600 0"></f><f eqn="prod @7 21600 pixelHeight"></f><f eqn="sum @10 21600 0"></f></formulas><path o:connecttype="rect" gradientshapeok="t" o:extrusionok="f"></path><lock aspectratio="t" v:ext="edit"></lock></shapetype><shape id="_x0000_i1025" style="WIDTH: 243pt; HEIGHT: 177.75pt" type="#_x0000_t75"><imagedata o:title="" src="file:///C:%5CDOCUME~1%5C%E8%B6%99%E7%A3%8A%5CLOCALS~1%5CTemp%5Cmsohtml1%5C01%5Cclip_image001.png"></imagedata></shape>

1

代码中红色框内的可读文字是COFF标准文件格式中定义的文字。这些文字以及其他部分二进制,都是程序本身以外定义的用来便于系统运行的。这些辅助的数据可以被windows识别,但是不能被Linux以及其他操作系统识别。更不用说是自己开发的小型操作系统。

那么如何解决这个问题呢?Cygwin内提供了很多处理二进制文件的工具,例如objcopy,运行objcopy bootpack.o –O binary bootpack.bin。我们再来看看bootpack.bin的内容。

<shape id="_x0000_i1026" style="WIDTH: 252pt; HEIGHT: 57pt" type="#_x0000_t75"><imagedata o:title="" src="file:///C:%5CDOCUME~1%5C%E8%B6%99%E7%A3%8A%5CLOCALS~1%5CTemp%5Cmsohtml1%5C01%5Cclip_image003.png"></imagedata></shape>

2

内容少了很多,上图中红色框的数据都没有了。再仔细看看就发现图2中的数字来自图1 0x<chmetcnv w:st="on" tcsc="0" numbertype="1" negative="False" hasspace="False" sourcevalue="8" unitname="C">0000008C</chmetcnv>位置到0x000000CB位置的内容。这些内容才是真正的执行指令。那么bootpack.o大部分内容都有什么含意和作用呢?出于好奇心,我在微软下载了Visual Studio, Microsoft Portable Executable and Common Object File Format Specification。并根据该文件编写了一个解析.exe,.obj,.dll等文件的小程序olink

先看看使用该程序解析上文bootpack.o后会是什么输出结果。

bootpack.c的源代码很简单:

/*Colimas Simple OS*/

void io_hlt(void);

void write_mem8(int addr, int data);

//entry

void ColimasMain(void)

{

int i;

for(i=0xa000;i<=0xaffff;i++){

write_mem8(i,15);

}

for(;;) io_hlt();

}

您完全可以忽略源代码的具体内容。使用olink bootpack.o的结果如下:

This is an image file.

1. Image file header info:

Image file machine type:Intel 386 or later processors and compatible processors

The number of sections:3

Number of symbols:12

Pointer of symbols table:0xe0

Characteristics:

Machine is based on a 32-bit-word architecture.

2. The sections info of image file:

1 .text:

The virtual size :0

The virtual address :0x0

The size of raw data :64

The pointer to raw data:0x<chmetcnv w:st="on" tcsc="0" numbertype="1" negative="False" hasspace="False" sourcevalue="8" unitname="C">8c</chmetcnv>

The characteristics of the section:

The section contains executable code.

The section contains initialized data.

The section has relocations.

2 .data:

The virtual size :0

The virtual address :0x0

The size of raw data :0

The pointer to raw data:0x0

The characteristics of the section:

The section contains initialized data.

The section contains uninitialized data.

3 .bss:

The virtual size :0

The virtual address :0x0

The size of raw data :0

The pointer to raw data:0x0

The characteristics of the section:

The section contains initialized data.

The section contains uninitialized data.

3. Symbol table of image file(12).

1. .file

Value:Not yet assigned a section.

type:Base type.

Storage class:A value that Microsoft tools, as well as traditional COFF format, use for the source-file symbol record.

Number of section:-2

2. Files

name:bootpack.c

3. _ColimasMain

Value:Not yet assigned a section.

type:A function that returns a base type.

Storage class:A value that Microsoft tools use for external symbols.

Number of section:1

4. Function Definitions

Tag index:0

Total size:0

Pointer to line number:0x0

Pointer to next function:0x0

5. .text

Value:Not yet assigned a section.

type:Base type.

Storage class:The offset of the symbol within the section.

Number of section:1

6. Section Definitions:

Length:55

Number of relocations:2

Number of line numbers:0

One-based index into the section table:0

7. .data

Value:Not yet assigned a section.

type:Base type.

Storage class:The offset of the symbol within the section.

Number of section:2

8. Section Definitions:

Length:0

Number of relocations:0

Number of line numbers:0

One-based index into the section table:0

9. .bss

Value:Not yet assigned a section.

type:Base type.

Storage class:The offset of the symbol within the section.

Number of section:3

10. Section Definitions:

Length:0

Number of relocations:0

Number of line numbers:0

One-based index into the section table:0

11. _io_hlt

Value:Not yet assigned a section.

type:A function that returns a base type.

Storage class:A value that Microsoft tools use for external symbols.

Number of section:0

12. _write_mem8

Value:Not yet assigned a section.

type:A function that returns a base type.

Storage class:A value that Microsoft tools use for external symbols.

Number of section:0

看上内容如此之多,其实跟其他负责的EXE程序相比,这个输出结果已经很少了,毕竟源文件很简单,也没有使用任何的动态链接库。如果你急于看看更复杂的结果,请在调试模式下编译生成的中间文件obj的结果吧。调试模式下的obj保存着调试用的代码行数,已经其他信息。这是为什么调试模式下的文件要比Release模式下编译的文件大,而Release模式下编译的文件无法调试的原因。

olink程序实现并不复杂,由于我有曾经解析Java Class文件的经验,这次的实现变得更为轻松。程序简单分为2步,获取数据和输出结果。

获取的数据有:

1. PE/COFF文件头数据,该数据包括编译机器的类型,例如上文输出结果中的Image file machine type:Intel 386 or later processors and compatible processorsSection大小,Section指的是文件内容被分为不同类型,例如,代码为.text section,而数据则定义在.data section等;TimeDateStamp,本文略过;符号表地址PointerToSymbolTable,符号表指的是文件内作为各种标识的ASCII符号以及一些属性值,例如一个函数名,以及该函数指令的地址;符号个数NumberOfSymbols可选文件头数据大小,Optional header info of image file,该数据是存在于.exe,.dll文件里,上文中间文件的输出结果中就没有;文件特性Characteristics,例如Image only, Windows CE, and Microsoft Windows NT and later,或The image file is a dynamic-link library (DLL),或The image file is a system file, not a user program等等。

2. 可选文件头数据,该数据内容有:文件标示Magic,所有PE32格式的Magic0x10bPE32+格式的为0x20bPE32+允许64位的地址空间;连接器版本号;指令(.text section)总长度;初始化数据(.data)长度;未初始化数据(.bss)长度;该文件所需要的子系统,例如:Device drivers and native Windows processes, 或The Windows graphical user interface (GUI) subsystem,或Windows CE,或XBOX等;程序入口地址,例如WinMainmain等;Data Directories,一组数据,每组包括数据地址和长度,这些数据分别表示Export TableImport TableResource TableException TableBase Relocation TableDebug等;还有一些数据,详见PE/COFF格式规范。

3. Section表,每个表定长40Bytes。包括名称,例如.text, .data, .bss等;长度;地址;Section标志,例如该Section包含可执行代码,或者包含初始化数据,或者包含未初始化数据等。

4. 符号表,Symbol Table。包括符号名称,例如函数名,Section名等;所在Section Number;类型,例如该符号是类型名还是函数名;

5. 字符串表,表内保存着所有符号表所需要的超过8bytes的字符串。

olink解析的文件内容可以看出PE/COFF文件格式的复杂和健全性。

分享到:
评论

相关推荐

    pecoff.pdf

    根据提供的文件信息,我们可以提炼出关于PE/COFF文件格式的详细知识点。以下是对文件内容的详细解读。 PE/COFF文件格式是微软为Windows NT操作系统开发的一种可移植的执行文件格式规范,目前版本为V6.0。该格式不...

    易语言源码全面解读PE格式PE文件格式一览.7z

    通过解压“易语言源码全面解读PE格式PE文件格式一览.7z”文件,你可以深入学习PE格式以及易语言如何在其中实现其特性。这个文档很可能详细阐述了这些概念,并通过实例帮助读者理解PE文件的内部结构。对于想要深入...

    coff文件格式详细说明、有关DSP的coff说明、图_文实例解剖coff (合集)

    COFF(Common Object File Format,公共...同时,对于PE(Portable Executable)格式,虽然不是直接主题,但作为Windows操作系统下的二进制文件格式,了解COFF也能为理解PE打下基础,因为PE在很多方面都基于COFF结构。

    PE文件格式”1.9版 完整译文(附注释)

    "PE文件格式”1.9版 完整译文(附注释)是对微软Windows操作系统中可执行文件格式的详细解读。PE(Portable Executable)文件格式是Windows NT、Windows 95及Win32子集下的二进制可执行文件的标准格式。此格式不仅...

    Winhex解读PE文件结构

    PE(Portable Executable)文件是Windows操作系统中可执行文件的标准格式。...总之,通过Winhex解读PE文件结构,不仅可以提升我们的逆向工程技能,也对软件开发、安全分析和故障排查有着重要的实际意义。

    PE-COEFF文件规范v8.0 简体中文版

    #### PE与COFF文件格式概览 微软的PE(Portable Executable)文件和COFF(Common Object File Format)文件规范v8.0,是针对Windows操作系统家族设计的一套详尽的文件结构描述。这份规范不仅为开发者提供了构建工具...

    Winhex,查看/编辑PE文件

    PE文件格式是Windows操作系统中的可执行文件和动态链接库的容器,了解如何使用Winhex来查看和编辑PE文件对于系统程序员和逆向工程师来说至关重要。 PE文件结构分为几个主要部分: 1. **DOS头**:虽然现在大多数...

    PEDUMP 即PE文件解读的源程序, 可以获取所有的PE文件内容

    1. **头标信息**:PE文件由多个头标组成,包括DOS头、COFF头、NT头等。PEDUMP可以提取这些头标的详细信息,如PE标志、图像文件头、选择性加载配置信息等。 2. **节区(Section)分析**:PE文件由若干个节区组成,每...

    pe格式详细说明及代码

    PE文件格式结合了UNIX操作系统中常用的COFF (Common Object File Format) 规范,并保留了MS-DOS中经典的MZ头部以确保向后兼容性。该格式的设计目的是为了提供一种高效、安全且灵活的方式来装载和执行程序。 #### 二...

    PE文件分析

    根据给定的信息,我们可以深入探讨PE(Portable Executable)文件格式以及如何利用C++进行PE文件分析。 ### PE文件格式简介 PE文件格式是微软Windows操作系统中用来存储可执行文件、动态链接库(DLLs)、某些类型...

    PE结构图二张

    2. **PE头(COFF标头)**:接着是PE头,也称为COFF(Common Object File Format)标头,它包含了关于文件的元数据,如机器类型、文件类型(可执行文件、DLL等)、节的数量和大小等。 3. **NT头**:PE头之后是NT...

    exeview 源码

    文件头包括COFF(Common Object File Format)头和PE头,它们提供了关于文件的基本信息,如目标CPU类型、文件大小、入口点地址等。 - 节区表是PE文件的主体,存储了实际的代码和数据。源码中的`PEFILE.DLL`可能包含...

    UEFI Intel UDK2010 Trainning ppt day2

    1. UEFI架构:讲解了UEFI的模块化设计,包括固件体积、固件体积中的PE/COFF可执行文件,以及如何通过这些文件来构建UEFI应用程序。 2. UEFI Boot Services:介绍了UEFI启动服务,如设备驱动加载、事件处理、内存...

Global site tag (gtag.js) - Google Analytics