[microsoft]PE和COFF文件格式

前言

我们知道，vs的C/C++编译工具把每一个编译单元（一个.c或.cpp源文件）编译成一个对象文件（.obj文件）；然后用链接器把这些对象文件组合一个单个文件（.exe文件），称为可移植的可执行文件（portable executable简称为可执行文件）。强调portable说明是not architecture specific。

PE、COFF文件结构：

1、PE header:MS‐DOS stub, the PE signature, the COFF file header, and an optional header.

2\A COFF object file header consists of a COFF file header and an optional header.

3、In both cases, the file headers are followed immediately by section headers.

PE文件结构详解：

微软操作系统历史上使用了多种可执行文件格式，MS-DOS操作系统下有COM(.COM，不是对象组件模型)、MZ(.exe)、NE(.exe)文件格式；windows操作系统下有NE(.exe)、PE(.exe)、 PE32+(.exe)文件格式。对于PE文件格式，它向前兼容了MZ文件格式，好像没有兼容COM和NE两种文件格式。所以，PE文件一开始就是一个完整的MZ文件。

MZ文件以一个两字节的数字签名开始-MZ(0x4D5A)，这是一名MS-DOS主要开发者Mark Zbikowski的名字缩写。PE文件中的MZ文件由文件头和文件数据构成，文件数据是一段MS-DOS 2.0 Stub Program，就是我们所说的DOS存根程序。此程序的主要作用是：当此程序在DOS环境下运行时，它告诉用户这不是一个DOS程序。

Liker.exe在MZ文件头中一个数据域（可能原来就是设计成以后扩展使用的）中(0x3c开始的4个字节)填充PE签名的开始位置，PE程序加载器从这里开始解析加载程序。PE签名（4字节0x50450000）之后便是COFF头，COFF头固定20字节长度；COFF头后面紧跟的是可选头(optional header)，可选头的长度在COFF头的一个域中定义；到此文件头就结束了，后面紧跟的就是段表了和段数据区了。

我们应该注意到，PE签名的偏移量是在MZ头中给出的，但后面COFF头、可选头、段表、段数据区的偏移地址都需要通过PE签名的偏移地址得到。所以它们之间紧密相连，不能有间隔。PE签名（4字节）、COFF头（20字节）的长度是固定不变的，可选头的长度在COFF头中给出，段表项的数目在COFF头中给出，段表项长度（40字节）固定，这样各个部分的起始地址就很容易得到，具体说来：

• addr_PE_signature   = *(0x3c)
• addr_coff_header     = addr_PE_signature + 4
• addr_optional_heaer = addr_coff_header + 20
• addr_section_table   = addr_optional_heaer + coff_header.SizeOfOptionalHeader
• addr_section_data    =  addr_section_table + coff_header.NumberOfSections*40

COFF文件结构详解：