PE文件和COFF文件格式分析--概述

        刚工作的时候,我听说某某大牛在做病毒分析时,只是用notepad打开病毒文件,就能大致猜到病毒的工作原理。当时我是佩服的很啊,同时我也在心中埋下了一个种子:我也得有这天。随着后来的工作进行,一些任务的和这个理想有了交集,这得以让我有足够的时间和精力去细细研究PE文件和COFF文件格式。(转载请指明出处)

        如果有一定的英语基础的朋友,可以查看微软原稿(http://www.microsoft.com/whdc/system/platform/firmware/PECOFF.mspx)。如果没什么耐性去读,可以去读我即将编写的《PE文件和COFF文件格式分析》系列博文,同时我用VC去解析一些文件。这儿补充说明下,微软原稿中有一页是一些免责声明,大概就是说微软可能会在之后修改这些文件结构,而不会通知到你。我对PE和COFF文件格式的研究是基于原稿8.2版本的,可能若干年后,我这儿写的东西就存在不对的地方了。之后我们切入正题。

       PE的全称是Portable Executable,用中文就是“可移植、可执行的”。从这个名字可以看出PE文件格式是一种文件格式标准,该标准并不局限于Windows某个平台,因为它是“可移植”的。比如我们在xp下编写的程序,一般可以没有问题的放在Win7的系统上跑。这个特性非常重要,它让windows平台软件提供了延续性的可能,否则软件厂商要为不同系统编写或者生成不同的程序,这无疑增加了软件提供商的负担,同时这也大大降低了软件传播的速度。“可执行性”是说这个文件是中承载着可以被CPU执行的指令,而不是像TXT这样的只是承载着数据。

        COFF的全称是Common Object File Format,用中文描述是“通用对象文件结构”。此处特别注意“对象”这个用词,如果研读过PECOFF原稿的朋友,可以发现,文中介绍一些属性时,区分了Image和Object两种文件的情况。对编译链接有一定了解的朋友应该知道,我们编写的C++对象文件,先会被编译成为一个和文件同名且格式为obj的文件,然后链接器会将这些obj文件链接成Exe或者DLL这样的PE文件。这里的obj文件就是COFF格式的。

        如之前介绍的,我们编写的PE文件很可能是由COFF文件链接而成,那么PE和COFF之间有什么关系呢?PE文件中包含COFF格式头,这个头的信息非常重要,我会在之后介绍。


以上是经典的PE文件格式


PE文件和COFF文件格式分析--概述_第1张图片

以上是经典的COFF文件格式

       之后我们会讨论更详细的信息。

你可能感兴趣的:(工作,windows,object,image,平台,微软)