数学建模社区-数学中国

标题: [转载]COFF文件格式（2） [打印本页]

---

作者: Blackbird    时间: 2005-9-17 13:59
标题: [转载]COFF文件格式（2）
<><STRONG>重要声明：本文乃转载自其他社区，由于在下无法获得任何有关作者和出处的信息，所以不能在此登出，恳请作者原谅，并希望知情者能告知在下。本着资源的共享的精神，在下深信作者不会拒绝在下的转载行为。同时强烈BS数学中国的下载系统，它不但不能及时给予他人需要的帮助，还浪费了他人大量的时间，仅仅是为了获得无聊的点数，而且遗憾的是，那些点数并不能保证你真能获得帮助！</STRONG></P>
9 H& b8 `5 |( I9 Y5 [" k% c* `<>文件头<br>    文件头，自然是从文件的0偏移处开始，它的结构很简单。用C的结构描述如下：<br>typedef struct {<br>  unsigned short usMagic;  // 魔法数字<br>  unsigned short usNumSec;  // 段落（Section）数<br>  unsigned long  ulTime;  // 时间戳<br>  unsigned long  ulSymbolOffset;  // 符号表偏移<br>  unsigned long  ulNumSymbol;  // 符号数<br>  unsigned short usOptHdrSZ;  // 可选头长度<br>  unsigned short usFlags;  // 文件标记<br>} FILEHDR;<br>    结构中usMagic成员是一个魔法数字（Magic Number），在I386平台上的COFF文件中它的值为0x014c。如果COFF文件头中魔法数字不为0x014c，那就不用看了，这不是一个I386平台的COFF文件。其实这就是一个平台标识。<br>    第二个成员usNumSec是一个无符号短整型，它用来描述段落的数量。段落头（Section Header）的数目就是它。<br>    ulTime成员是一个时间戳，它用来描述COFF文件的建立时间。当COFF文件为一个可执行文件时，这个时间戳经常用来当做一个加密用的比对标识。<br>    ulSymbolOffset是符号表在文件中的偏移量，这是一个绝对偏移量，要从文件头开始计数。在COFF文件的其它节中，也存在这种偏移量，它们都是绝对偏移量。<br>    ulNumSymbol成员给出了符号表中符号记录的数量。<br>    usOptHdrSZ是可选头的长度，通常它为0。而可选头的类型也是从这个长度得知的，针对不同的长度，我们就要选择不同的处理方式。<br>    usFlag是COFF文件的属性标记，它标识了COFF文件的类型，COFF文件中所保存的数据等等信息。</P>
  ?1 U$ E8 Q3 Y1 }- \# v<>具体数值和说明请见下表：</P>
9 o5 d/ W  j2 Y- I" T<>
<TABLE borderColor=#cccccc cellSpacing=2 cellPadding=2 width="100%" align=center bgColor=#ffffff border=1>

3 @# j; U$ d& b8 K: Y" {5 Z! f<TR>
; D  A  d1 x, y+ R/ n! W<TD>
' ^, f8 |1 Y/ I5 v<>值</P></TD>
<TD>
* J5 t9 ~7 M! ]; {% Q1 M# p; V<>名称</P></TD>
! Q3 ^& ?5 y# ]* c& S1 b/ |<TD>
<>说明</P></TD>
<TR>
<TD>
<>0x0001</P></TD>
5 c4 H5 p9 Y" p1 M) M% i1 `( X<TD>
<>F_RELFLG  </P></TD>
! t2 i; X: [, F! H  y+ q4 N8 S3 r. Y  }) R<TD>
9 l  B" S3 p2 u: g+ _3 z<>无重定位信息标记。这个标记指出COFF文件中没有重定位信息。通常在目标文件中这个标记们为0，在可执行文件中为1。</P></TD>
. R$ X: n3 {4 Q( W: n<TR>
  n- ^4 ?# D) h- V" m<TD>
<>0x0002</P></TD>
/ ?$ x# d3 ^# J9 v<TD>
  t4 \( H" k& h8 s1 t<>F_EXEC</P></TD>
<TD>
<>可执行标记。这个标记指出 COFF</FONT> 文件中所有符号已经解析， COFF</FONT> 文件应该被认为是可执行文件。</P></TD>
<TR>
" Q( d# A- i8 H+ t<TD>
<>0x0004</P></TD>
<TD>
; d6 ]2 c+ i* C5 _  x<>F_LNNO</P></TD>
<TD>
<>可执行标记。这个标记指出 COFF</FONT> 文件中所有符号已经解析， COFF</FONT> 文件应该被认为是可执行文件。</P></TD>
<TR>
<TD>
- Z/ L% `- Q  l3 C* X0 j; U<>0x0008</P></TD>
) f# n4 k2 _) C5 |# V" l<TD>
<>F_LSYMS</P></TD>
' G) W- h" Y8 o7 ~" y) ~<TD>
! Y3 ^: e, [9 i6 m0 w<>文件中的符号信息已经被去掉。</P></TD>
# A& V. T- g9 N! d5 Q% {<TR>
( h6 L3 ~2 z) ^* E9 t<TD>
/ ]. H1 j; X3 \5 U+ O$ z<>0x0100</P></TD>
6 D8 ^$ [% t! H; V2 N8 v6 h& m<TD>
: R5 K& n1 |5 x2 E<>F_AR32WR</P></TD>
7 D# n  f' C  l<TD>
2 |0 Z+ b0 X% \1 z/ `) m; f6 S# R<>些标记指出文件是 32 位的 Little-Endian COFF文件。</P></TD></TR></TABLE></P>
2 m' x- y5 K( c/ N- Q) |/ \  {; {1 @8 h<>注：Little-Endian，记不得它的中文名称了。它是指数据的排列方式。比如：十六进制的0x1234以Little-Endian方式在内存中的顺序为0x34 0x12。与之相反的是Big-Endian，这种方式下，在内存中的顺序是0x12 0x34。<br>这个表的内容并不全面，但在目标文件中，常用的也就只有这些。其它的标记我将在以后介绍PE格式时给出。<br>可选头<br>    可选头接在文件头的后面，也就是从COFF文件的0x0014偏移处开始。长度可以为0。不同长度的可选头，其结构也不同。标准的可选头长度为24或28字节，通常是28啦。这里我就只介绍长度为28的可选头。（因为这种头的长度是自定义的，不同的人定义的结果就不一样，我只能选一种最常用的头来介绍，别的我也不知道）<br>这种头的结构如下：<br>typedef struct {<br>  unsigned short usMagic;  // 魔法数字<br>  unsigned short usVersion;  // 版本标识<br>  unsigned long  ulTextSize;  // 正文（text）段大小<br>  unsigned long  ulInitDataSZ;  // 已初始化数据段大小<br>  unsigned long  ulUninitDataSZ;  // 未初始化数据段大小<br>  unsigned long  ulEntry;  // 入口点<br>  unsigned long  ulTextBase;  // 正文段基址<br>  unsigned long  ulDataBase;  // 数据段基址（在PE32中才有）<br>} OPTHDR;<br>    第一个成员usMagic还是魔法数字，不过这回它的值应该为0x010b或0x0107。当值为0x010b时，说明COFF文件是一个一般的可执行文件；当值为，0x0107时，COFF则为一个ROM镜像文件。<br>    usVersion是COFF文件的版本，ulTextSize是这个可执行COFF的正文段长度，ulInitDataSZ和ulUninitDataSZ分别为已初始化数据段和未初始化数据段的长度。<br>    ulEntry是程序的入口点，也就是COFF载入内存时正文段的位置（EIP寄存器的值），当COFF文件是一个动态库时，入口点也就是动态库的入口函数。<br>    ulTextBase是正文段的基址。<br>    ulDataBase是数据段基址。<br>    其实在这些成员中，只要注意usMagic和ulEntry就可以了。</P>
# a* O4 w$ m, E# B; w0 I

[此贴子已经被作者于2005-9-17 14:50:44编辑过]

---

作者: cupidvenus    时间: 2005-9-23 13:27
学习

---

欢迎光临 数学建模社区-数学中国 (http://www.madio.net/)

Powered by Discuz! X2.5