QQ登录

只需要一步,快速开始

 注册地址  找回密码
查看: 2701|回复: 1
打印 上一主题 下一主题

[转载]COFF文件格式(2)

[复制链接]
字体大小: 正常 放大
Blackbird        

8

主题

2

听众

21

积分

升级  16.84%

该用户从未签到

新人进步奖

跳转到指定楼层
1#
发表于 2005-9-17 13:59 |只看该作者 |倒序浏览
|招呼Ta 关注Ta
<><STRONG>重要声明:本文乃转载自其他社区,由于在下无法获得任何有关作者和出处的信息,所以不能在此登出,恳请作者原谅,并希望知情者能告知在下。本着资源的共享的精神,在下深信作者不会拒绝在下的转载行为。同时强烈BS数学中国的下载系统,它不但不能及时给予他人需要的帮助,还浪费了他人大量的时间,仅仅是为了获得无聊的点数,而且遗憾的是,那些点数并不能保证你真能获得帮助!</STRONG></P>
+ L( w6 I' |8 p3 u* t<>文件头<br>    文件头,自然是从文件的0偏移处开始,它的结构很简单。用C的结构描述如下:<br>typedef struct {<br>  unsigned short usMagic;  // 魔法数字<br>  unsigned short usNumSec;  // 段落(Section)数<br>  unsigned long  ulTime;  // 时间戳<br>  unsigned long  ulSymbolOffset;  // 符号表偏移<br>  unsigned long  ulNumSymbol;  // 符号数<br>  unsigned short usOptHdrSZ;  // 可选头长度<br>  unsigned short usFlags;  // 文件标记<br>} FILEHDR;<br>    结构中usMagic成员是一个魔法数字(Magic Number),在I386平台上的COFF文件中它的值为0x014c。如果COFF文件头中魔法数字不为0x014c,那就不用看了,这不是一个I386平台的COFF文件。其实这就是一个平台标识。<br>    第二个成员usNumSec是一个无符号短整型,它用来描述段落的数量。段落头(Section Header)的数目就是它。<br>    ulTime成员是一个时间戳,它用来描述COFF文件的建立时间。当COFF文件为一个可执行文件时,这个时间戳经常用来当做一个加密用的比对标识。<br>    ulSymbolOffset是符号表在文件中的偏移量,这是一个绝对偏移量,要从文件头开始计数。在COFF文件的其它节中,也存在这种偏移量,它们都是绝对偏移量。<br>    ulNumSymbol成员给出了符号表中符号记录的数量。<br>    usOptHdrSZ是可选头的长度,通常它为0。而可选头的类型也是从这个长度得知的,针对不同的长度,我们就要选择不同的处理方式。<br>    usFlag是COFF文件的属性标记,它标识了COFF文件的类型,COFF文件中所保存的数据等等信息。</P>
. ?% P  N3 W% s+ L. K$ K" L- e<>具体数值和说明请见下表:</P>
, w5 g# e3 i! r$ l9 F  t<>
  z) I2 Y1 R9 ^& s; B9 ?<TABLE borderColor=#cccccc cellSpacing=2 cellPadding=2 width="100%" align=center bgColor=#ffffff border=1>0 ]) |* V2 t2 a# a, y. t

+ T% Z6 q2 W; {5 `3 _<TR>6 }7 c, |5 }3 B2 k3 I) j
<TD>
- g1 a/ @+ I2 `$ J1 \6 }<>值</P></TD>
8 W8 P2 C6 m0 R- W' M- F  |- f3 }<TD>
6 A3 M% z0 E; E<>名称</P></TD>* W5 n3 h+ ^0 P% |, ^6 Q$ m
<TD>
1 y9 }0 }8 ]& Q1 p2 B  E, f<>说明</P></TD>6 V; v  q. ^7 U- _8 W" N2 _/ |' a+ K( [
<TR>/ W: o5 ^3 G9 Q( ~9 }! B
<TD>
3 M' {; G- l' r" G: Z) X: u<>0x0001</P></TD>7 \: ~( L; t% l, [" X
<TD>4 T1 t# B0 j4 x7 \# S
<>F_RELFLG  </P></TD>
& B1 R( J5 |( L0 X8 m( ?<TD>, a% z4 L4 Z! k8 N$ H% r2 K
<>无重定位信息标记。这个标记指出COFF文件中没有重定位信息。通常在目标文件中这个标记们为0,在可执行文件中为1。</P></TD>6 l0 Z. |& z6 ^$ X# ^
<TR>
4 y2 m7 ]0 `7 X0 o% v5 M$ \<TD>
) @0 W1 B$ s( E. c  t<>0x0002</P></TD>1 F/ N. l6 j4 u
<TD>
' D0 @  g* U/ {6 @# c# d7 g- \+ M<>F_EXEC</P></TD>9 C8 F' U* i2 Q2 A  C
<TD>& [( X( h% Y- q% X2 `5 W4 v
<>可执行标记。这个标记指出 COFF</FONT> 文件中所有符号已经解析, COFF</FONT> 文件应该被认为是可执行文件。</P></TD>& C' M6 j" N* Q
<TR>
; X: {) \9 |/ t3 O1 ~<TD>& L% a1 m8 w4 ~" w6 h
<>0x0004</P></TD>
8 U, {9 H: o1 a* [. V3 I<TD>
# C* c# R* K! K) R, g" k3 k7 a( i1 X<>F_LNNO</P></TD>
( }1 e8 v% N6 `& G# x9 K7 O# m. T<TD>
7 f4 A. b  P8 G" |2 h! d+ [0 I9 O<>可执行标记。这个标记指出 COFF</FONT> 文件中所有符号已经解析, COFF</FONT> 文件应该被认为是可执行文件。</P></TD>
" N( G4 _% b( x<TR>
9 N/ g- X" }1 B! u  w$ b6 U( u<TD>- D1 u) \8 b3 Z; L7 U% e
<>0x0008</P></TD>
2 @1 s5 C0 K5 F6 y, b) B9 n3 C<TD>6 z2 T1 e4 U. N4 [* |
<>F_LSYMS</P></TD>4 c; g9 U& {( X% \+ j$ I
<TD>
% X6 T6 R$ B% m3 }. H<>文件中的符号信息已经被去掉。</P></TD>2 b8 q- ~3 C: }& p8 X0 D, B! z
<TR>
0 n' v9 L* I0 ?  l$ C& M<TD>
; d" N7 U2 e; C<>0x0100</P></TD>
8 V% g$ Y4 K( X. C6 q, w1 f* C<TD>
* t: ^$ d! m" M) l- ~0 ]<>F_AR32WR</P></TD>( Y9 g9 X: \/ y8 ^& }
<TD>6 A/ p1 g4 G- g5 N& q
<>些标记指出文件是 32 位的 Little-Endian COFF文件。</P></TD></TR></TABLE></P>
) z2 c8 k1 D& I) \8 O5 Y, [- K<>注:Little-Endian,记不得它的中文名称了。它是指数据的排列方式。比如:十六进制的0x1234以Little-Endian方式在内存中的顺序为0x34 0x12。与之相反的是Big-Endian,这种方式下,在内存中的顺序是0x12 0x34。<br>这个表的内容并不全面,但在目标文件中,常用的也就只有这些。其它的标记我将在以后介绍PE格式时给出。<br>可选头<br>    可选头接在文件头的后面,也就是从COFF文件的0x0014偏移处开始。长度可以为0。不同长度的可选头,其结构也不同。标准的可选头长度为24或28字节,通常是28啦。这里我就只介绍长度为28的可选头。(因为这种头的长度是自定义的,不同的人定义的结果就不一样,我只能选一种最常用的头来介绍,别的我也不知道)<br>这种头的结构如下:<br>typedef struct {<br>  unsigned short usMagic;  // 魔法数字<br>  unsigned short usVersion;  // 版本标识<br>  unsigned long  ulTextSize;  // 正文(text)段大小<br>  unsigned long  ulInitDataSZ;  // 已初始化数据段大小<br>  unsigned long  ulUninitDataSZ;  // 未初始化数据段大小<br>  unsigned long  ulEntry;  // 入口点<br>  unsigned long  ulTextBase;  // 正文段基址<br>  unsigned long  ulDataBase;  // 数据段基址(在PE32中才有)<br>} OPTHDR;<br>    第一个成员usMagic还是魔法数字,不过这回它的值应该为0x010b或0x0107。当值为0x010b时,说明COFF文件是一个一般的可执行文件;当值为,0x0107时,COFF则为一个ROM镜像文件。<br>    usVersion是COFF文件的版本,ulTextSize是这个可执行COFF的正文段长度,ulInitDataSZ和ulUninitDataSZ分别为已初始化数据段和未初始化数据段的长度。<br>    ulEntry是程序的入口点,也就是COFF载入内存时正文段的位置(EIP寄存器的值),当COFF文件是一个动态库时,入口点也就是动态库的入口函数。<br>    ulTextBase是正文段的基址。<br>    ulDataBase是数据段基址。<br>    其实在这些成员中,只要注意usMagic和ulEntry就可以了。</P>9 v( H: f% c' f6 \
[此贴子已经被作者于2005-9-17 14:50:44编辑过]
zan
转播转播0 分享淘帖0 分享分享0 收藏收藏0 支持支持0 反对反对0 微信微信

1

主题

2

听众

60

积分

升级  57.89%

该用户从未签到

新人进步奖

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册地址

qq
收缩
  • 电话咨询

  • 04714969085
fastpost

关于我们| 联系我们| 诚征英才| 对外合作| 产品服务| QQ

手机版|Archiver| |繁體中文 手机客户端  

蒙公网安备 15010502000194号

Powered by Discuz! X2.5   © 2001-2013 数学建模网-数学中国 ( 蒙ICP备14002410号-3 蒙BBS备-0002号 )     论坛法律顾问:王兆丰

GMT+8, 2026-6-4 11:38 , Processed in 0.359782 second(s), 58 queries .

回顶部