程序员的自我修养五Windows PE/COFF
5.1 Windows的二进制文件格式PE/COFF
PE文件格式事实上与ELF同根同源,它们都是由COFF格式发展而来。
5.2 PE前身——COFF
在win下,Command Prompt for vs 2017,cd命令进入源代码所在目录:
运行命令:
“cl”是VISUAL C++的编译器。/c参数表示只编译,不链接,只会生成obj文件,不会生成exe文件。如下:
如果不加这个参数,那么cl会在编译源代码后,再调用link链接器将生产的obj文件与默认的C运行库链接,生成exe文件。
“/Za”参数禁用这些C和C++的专有扩展。
可以使用下面命令查看obj的结构:
/ALL参数将打印输出目标文件的所有相关信息,包括文件头,每个段的属性和段的原始数据及符号表。
下面是打印出来的所有相关信息:
Microsoft (R) COFF/PE Dumper Version 14.10.25019.0
Copyright (C) Microsoft Corporation. All rights reserved. Dump of file SimpleSection.obj File Type: COFF OBJECT FILE HEADER VALUES
14C machine (x86)
number of sections
5960849C time date stamp Sat Jul ::
1F4 file pointer to symbol table
number of symbols
size of optional header
characteristics SECTION HEADER #
.drectve name
physical address
virtual address
size of raw data
DC file pointer to raw data (000000DC to 000000F3)
file pointer to relocation table
file pointer to line numbers
number of relocations
number of line numbers
100A00 flags
Info
Remove
byte align RAW DATA #
: 2F 4C 4C 3A /DEFAULTLIB:"
: 4C 4D LIBCMT" Linker Directives
-----------------
/DEFAULTLIB:LIBCMT SECTION HEADER #
.debug$S name
physical address
virtual address
size of raw data
F4 file pointer to raw data (000000F4 to )
file pointer to relocation table
file pointer to line numbers
number of relocations
number of line numbers
flags
Initialized Data
Discardable
byte align
Read Only RAW DATA #
: F1 ....?...g...)...
: 3A 5C 6D 6C ....D:\SimpleSec
: 6F 6E 5C 6D 6C tion\SimpleSecti
: 6F 6E 2E 6F 6A 3A 3C on.obj.:.<.."...
: 0A BB 0A BB .....?a......?a.
: 4D 6F 6F 4F .Microsoft (R) O
: 6D 7A 6E 6F 6D 6C ptimizing Compil
: er.. SECTION HEADER #
.data name
physical address
virtual address
C size of raw data
file pointer to raw data ( to )
file pointer to relocation table
file pointer to line numbers
number of relocations
number of line numbers
C0300040 flags
Initialized Data
byte align
Read Write RAW DATA #
: 0A T...%d..U... SECTION HEADER #
.text$mn name
physical address
virtual address
4E size of raw data
file pointer to raw data ( to 000001C1)
1C2 file pointer to relocation table
file pointer to line numbers
number of relocations
number of line numbers
flags
Code
byte align
Execute Read RAW DATA #
: 8B EC 8B E8 U.ì.E.Ph....è...
: C4 5D C3 CC CC CC CC CC CC CC CC CC CC ..?.]?ìììììììììì
: 8B EC EC C7 FC A1 U.ì.ì.?Eü....?..
: FC F8 E8 .........Eü.E?Pè
: C4 8B FC 8B E5 5D C3 .....?..Eü.?]? RELOCATIONS #
Symbol Symbol
Offset Type Applied To Index Name
-------- ---------------- ----------------- -------- ------
DIR32 A $SG1535
0000000D REL32 F _printf
0000002E DIR32 B ?static_var@???main@@@ (`main'::`2'::static_var)
DIR32 ?static_var2@???main@@@ (`main'::`2'::static_var2)
REL32 E _func SECTION HEADER #
.bss name
physical address
virtual address
size of raw data
file pointer to raw data
file pointer to relocation table
file pointer to line numbers
number of relocations
number of line numbers
C0300080 flags
Uninitialized Data
byte align
Read Write COFF SYMBOL TABLE
010461BB ABS notype Static | @comp.id
ABS notype Static | @feat.
SECT1 notype Static | .drectve
Section length , #relocs , #linenums , checksum
SECT2 notype Static | .debug$S
Section length , #relocs , #linenums , checksum
SECT3 notype Static | .data
Section length C, #relocs , #linenums , checksum AC5AB941
SECT3 notype External | _global_init_var
UNDEF notype External | _global_uninit_var
00A SECT3 notype Static | $SG1535
00B SECT3 notype Static | ?static_var@???main@@@ (`main'::`2'::static_var)
00C SECT4 notype Static | .text$mn
Section length 4E, #relocs , #linenums , checksum CC61DB94
00E SECT4 notype () External | _func
00F UNDEF notype () External | _printf
SECT4 notype () External | _main
SECT5 notype Static | .bss
Section length , #relocs , #linenums , checksum
SECT5 notype Static | ?static_var2@???main@@@ (`main'::`2'::static_var2) String Table Size = 0x5D bytes Summary .bss
C .data
.debug$S
.drectve
4E .text$mn
COFF文件结构
COFF的文件头部包括两部分,一个是描述文件总体结构和属性的映像头,另一个是描述该文件中包含的段属性的段表。
映像:因为PE文件再装载时被直接映射到进程的虚拟空间中运行,它时进程的虚拟空间的映像。所以PE可执行文件很多时候被叫做映像文件。
文件头里描述COFF文件总体属性的映像头是一个”IMAGE_FILE_HEADER”的结构,相当于ELF中”Elf32_Ehdr”结构。
上面目标文件中这部分与这个结构对应:
File Type: COFF OBJECT FILE HEADER VALUES
14C machine (x86)//目标机器类型
number of sections//PE中所含段的数量
5960849C time date stamp Sat Jul :: //PE文件创建时间
1F4 file pointer to symbol table//符号表在PE文件中的位置
number of symbols
size of optional header//optional header的大小,这个结构只存在PE可执行文件中,COFF文件中不存在
characteristics
COFF OBJECT也就是COFF目标文件格式。
映像头后面就是COFF文件的段表,它是一个类型”IMAGE_SECTION_HEADER”结构数组,数组里面每一个元素代表一个段,这个结构和ELF文件中的”Elf32——Shdr”很相似。
5.3 链接指示信息
上面目标文件中”.drectve”内容:
SECTION HEADER #
.drectve name
physical address
virtual address
size of raw data
DC file pointer to raw data (000000DC to 000000F3)
file pointer to relocation table
file pointer to line numbers
number of relocations
number of line numbers
100A00 flags //标准位,即"IMAGE_SECTION_HEADERS"里面的Characteristics成员。
Info
Remove
byte align//这三个组合属性表示该段时信息段,并非程序数据 RAW DATA #//该段在文件中的原始数据
: 2F 4C 4C 3A /DEFAULTLIB:"
: 4C 4D LIBCMT" //dumpbin对该段进行解析后的结果,它就是"cl"编译器希望传递给"link"链接器的参数,它表示VC的静态链接的多线程C库。 Linker Directives
-----------------
/DEFAULTLIB:LIBCMT
它的内容时编译器传给链接器的指令。
5.4 调试信息
COFF文件中所有以”.debug”开始的段都包含着调试信息。
- “.debug$S”表示包含的是符号相关的调试信息。
- “.debug$P”表示包含的是预编译头文件相关的调试信息。
- “.debug$T”表示包含的是类型相关的调试信息。
调试信息段具体格式被定义在PE格式文件标准中。
SECTION HEADER #
.debug$S name
physical address
virtual address
size of raw data
F4 file pointer to raw data (000000F4 to )
file pointer to relocation table
file pointer to line numbers
number of relocations
number of line numbers
flags
Initialized Data
Discardable
byte align
Read Only RAW DATA #
: F1 ....?...g...)...
: 3A 5C 6D 6C ....D:\SimpleSec
: 6F 6E 5C 6D 6C tion\SimpleSecti
: 6F 6E 2E 6F 6A 3A 3C on.obj.:.<.."...
: 0A BB 0A BB .....?a......?a.
: 4D 6F 6F 4F .Microsoft (R) O
: 6D 7A 6E 6F 6D 6C ptimizing Compil
:
5.5 符号表
COFF符号表的内容基本和ELF文件的符号表一样,主要是符号名。符号的类型,所在的位置
COFF SYMBOL TABLE //符号编号 符号大小 符号所在位置 符号类型,只有两种notype和notype() 符号可见范围 符号名
010461BB ABS notype Static | @comp.id //ABS表示符号是个绝对值,不存在任何段中
ABS notype Static | @feat. //notype 变量和其他符号
SECT1 notype Static | .drectve //表示符号所表示的对象定义在本COFF文件的第一个段中
Section length , #relocs , #linenums , checksum
SECT2 notype Static | .debug$S //Static局部变量,只有目标文件中可见
Section length , #relocs , #linenums , checksum
SECT3 notype Static | .data
Section length C, #relocs , #linenums , checksum AC5AB941
SECT3 notype External | _global_init_var //External全局变量,可以被其他目标文件引用
UNDEF notype External | _global_uninit_var //表示符号未定义,即这个符号被定义在其他目标文件中
00A SECT3 notype Static | $SG1535
00B SECT3 notype Static | ?static_var@???main@@@ (`main::`::static_var)
00C SECT4 notype Static | .text$mn
Section length 4E, #relocs , #linenums , checksum CC61DB94
00E SECT4 notype () External | _func1 //notype ()函数
00F UNDEF notype () External | _printf
SECT4 notype () External | _main
SECT5 notype Static | .bss
Section length , #relocs , #linenums , checksum
SECT5 notype Static | ?static_var2@???main@@@ (`main::`::static_var2)
5.6 Windows下的ELF——PE
PE文件是基于COFF的扩展,它比COFF文件多几个结构,最主要变化:
- 文件最开始的部分不是COFF文件头,而是DOS MZ可执行文件格式的文件头和桩代码。
- 原来的COFF文件头中的”IMAGE_FILE_HEADER”部分扩展成PE文件文件头结构”IMAGE_NT_HEADERS”,这个结构包括原来的”Image Header”及新增的PE扩展头部结构。
程序员的自我修养五Windows PE/COFF的更多相关文章
- 程序员的自我修养九Windows下的动态链接
9.1 DLL简介 DLL即动态链接库的缩写,它相对于Linux下的共享对象. Windows下的DLL文件和EXE文件实际上是一个概念,它们都是有PE格式的二进制文件. 微软希望通过DLL机制加强软 ...
- pwn学习日记Day21 《程序员的自我修养》读书笔记
Linux内核装载ELF过程 (1)bash进程调用fork()系统调用创建一个新的进程 (2)新的进程调用execve()系统调用执行指定的ELF文件,原先的bash进程继续返回等待刚才启动的新进程 ...
- pwn学习日记Day19 《程序员的自我修养》读书笔记
windows PE/COFF章总结 本章学习了windows下的可执行文件和目标文件格式PE/COFF.PE/COFF文件与ELF文件非常相似,它们都是基于段的结构的二进制文件格式.Windows下 ...
- pwn学习日记Day20 《程序员的自我修养》读书笔记
可执行文件的装载与进程 覆盖装入和页映射是两种典型的动态装载方法 进程建立的三步 1.创建一个独立的虚拟地址空间 2.读取可执行文件头,并且建立虚拟空间与可执行文件的映射关系. 3.将CPU的指令寄存 ...
- 程序员的自我修养(2)——计算机网络(转) good
相关文章:程序员的自我修养——操作系统篇 几乎所有的计算机程序,都会牵涉到网络通信.因此,了解计算机基础网络知识,对每一个程序员来说都是异常重要的. 本文在介绍一些基础网络知识的同时,给出了一些高质量 ...
- gcc ld 链接器相关知识,调试指令(程序员的自我修养----链接、装载与库)
最近解决一个动态链接上的问题,因为以前从来没有接触过这方面的知识,所以恶补了一下,首先要了解gcc编译指令(makefile),ld链接器的选项(还有连接脚本section指定内存位置),熟悉查看连接 ...
- 第八周读书笔记(人月神话X月亮与六便士)——到底什么才是一个程序员的自我修养?
写了这么久的读书笔记,涉及到问题大多是一些如何把软件工程做好,如何把自己的职业生涯做好.但总感觉逻辑链上缺了一环,亦即:我们为什么要把软件工程做好,我们成为一名优秀的职业生涯的意义到底在于什么?我觉得 ...
- pwn学习日记Day18 《程序员的自我修养》读书笔记
知识杂项 obj文件:当前源代码编译成二进制目标文件 exe文件:将.obj文件与库文件.lib等文件链接生成的可执行文件 一个现代编译器的主要工作流程如下: 源程序(source code)→ 预处 ...
- Java程序员的自我修养
一.自我修养路线图 如图,这是笔者所走的路.且不论这路走的对不对,这个过程中行业环境会影响到你,大可不必钻牛角尖.附上这张图的目的是为了说,如果你想成为一个优秀的程序员,那么你一定要有规划.当然,别想 ...
随机推荐
- Codeforces Round #423 B. Black Square
题目网址:http://codeforces.com/contest/828/problem/B 题目: Polycarp has a checkered sheet of paper of size ...
- JMeter 之Synchronizing Timer运行原理
JMeter测试并发场景,是通过设置Synchronizing Timer(同步定时器),熟悉LoadRunner性能测试的话,就知道里面有个概念:集合点. Synchronizing Timer则可 ...
- 安装Scala-2.11.7——集群学习日记
前言 在安装Spark之前,我们需要安装Scala语言的支持.在此我选择的是scala-2.11.7版本. scala-2.11.7下载 为了方便,我现在我的SparkMaster主机上先安装,把目录 ...
- 关于position
一.position 一)语法: 看了那么久的语法,终于到了讲正题的时间了. 二)定位 1.相对定位:相对元素自己在没有定位之前的位置进行位移,元素仍然保留还没有原来的位置. 特性: 1)不脱离文档流 ...
- selenium2之文件上传
我们在使用selenium做web自动化测试的时候也许会碰到需要上传文件或者图片的需求.那么下面给大家介绍一下,selenium是怎么实现文件上传和哪些情况不能直接上传. 一.上传控件标签为input ...
- git push解决办法: ! [remote rejected] master -> master (pre-receive hook declined)
前天准备上传一个project到GitLab上,但是试了很多次都上传不上去,报错如下: ! [remote rejected] master -> master (pre-receive hoo ...
- [技术] OIer的STL入门教程
注: 本文主要摘取STL在OI中的常用技巧应用, 所以可能会重点说明容器部分和算法部分, 且不会讨论所有支持的函数/操作并主要讨论 C++11 前支持的特性. 如果需要详细完整的介绍请自行查阅标准文档 ...
- 机器学习实战 logistic回归 python代码
# -*- coding: utf-8 -*- """ Created on Sun Aug 06 15:57:18 2017 @author: mdz "&q ...
- Spring中使用Map、Set、List、数组、属性集合的注入方法配置文件
(1)下边的一个Java类包含了所有Map.Set.List.数组.属性集合等这些容器,主要用于演示spring的注入配置: package com.lc.collection; import jav ...
- 用java调用.net的wcf其实还是很简单的
前些天和我们的一个邮件服务商对接,双方需要进行一些通讯,对方是java团队,而作为.net团队的我们,只能公布出去的是一个wcf的basicbinding,想不 到问题来了,对方不知道怎么去调用这 ...