Windows操作系统下的PE与COFF文件格式规范
22 浏览量
更新于2024-07-14
收藏 1.06MB PDF 举报
"Visual Studio, Microsoft Portable Executable 和 Common Object File Format 规范 - 版本 9.3 - 2015年12月29日 (pecoff_v93) - 计算机科学"
这篇文档是关于微软的Visual Studio所使用的可移植执行文件(Portable Executable, PE)和通用对象文件格式(Common Object File Format, COFF)的详细规格说明,版本号为9.3,发布日期为2015年12月29日。PE和COFF文件在Windows操作系统家族中广泛使用,涵盖了各种可执行程序和对象文件。
PE文件格式是Windows操作系统中的核心组件之一,它允许应用程序在不同的处理器架构上运行,因此被称为“可移植”。PE文件包括了代码、数据、元数据以及运行时所需的其他信息,如导入和导出函数、资源、异常处理等。COFF文件格式则通常用于编译器产生的中间对象文件,这些文件在链接阶段被组合成最终的PE可执行文件。
该文档的目的是为了辅助开发者和工具创建者理解PE和COFF文件的内部结构,从而能够编写和调试与Windows系统兼容的软件。然而,需要注意的是,这份文档虽然详尽,但并不保证涵盖所有方面,微软保留随时修改文档的权利。因此,对于最新的信息,开发者应参考微软官方的更新资源,如http://www.microsoft.com/whdc/system/platform/firmware/PECOFF.mspx。
PE文件的结构分为多个部分,包括DOS头、PE头、节表和节区。DOS头是一个兼容旧版DOS系统的部分,用于在没有PE加载器的环境中识别文件。PE头紧接着DOS头,包含了PE文件的元数据,如目标操作系统版本、入口点地址、节区信息等。节表描述了文件的各个部分,如.text(代码)、.data(初始化数据)、.bss(未初始化数据)等。节区则是实际的数据存储区域。
COFF文件格式则更专注于编译器生成的对象文件,它包括了符号表、重定位信息、节头等,这些信息在链接过程中用来合并多个源文件,解决依赖关系,并确定代码和数据在内存中的位置。
通过这份规范,开发者可以深入理解Windows应用程序的构建方式,如何进行动态链接,以及如何处理内存映射等高级话题。这对于开发驱动程序、系统级软件或进行逆向工程的开发者来说尤其重要。同时,对于想要创建自定义链接器、加载器或者分析二进制文件的人来说,这份文档是必不可少的参考资料。
Visual Studio, Microsoft Portable Executable and Common Object File Format Specification - 12
Revision 9.3 – December 29, 2015
© 2016 Microsoft Corporation. All rights reserved.
Offset
Size
Field
Description
4
4
SizeOfCode
The size of the code (text) section, or the
sum of all code sections if there are
multiple sections.
8
4
SizeOfInitializedData
The size of the initialized data section, or
the sum of all such sections if there are
multiple data sections.
12
4
SizeOfUninitializedData
The size of the uninitialized data section
(BSS), or the sum of all such sections if
there are multiple BSS sections.
16
4
AddressOfEntryPoint
The address of the entry point relative to
the image base when the executable file is
loaded into memory. For program images,
this is the starting address. For device
drivers, this is the address of the
initialization function. An entry point is
optional for DLLs. When no entry point is
present, this field must be zero.
20
4
BaseOfCode
The address that is relative to the image
base of the beginning-of-code section
when it is loaded into memory.
PE32 contains this additional field, which is absent in PE32+, following
BaseOfCode.
Offset
Size
Field
Description
24
4
BaseOfData
The address that is relative to the image
base of the beginning-of-data section
when it is loaded into memory.
3.4.2.
Optional Header Windows-Specific Fields (Image Only)
The next 21 fields are an extension to the COFF optional header format. They
contain additional information that is required by the linker and loader in Windows.
Offset
(PE32/
PE32+)
Size
(PE32/
PE32+)
Field
Description
28/24
4/8
ImageBase
The preferred address of the first
byte of image when loaded into
memory; must be a multiple of
64 K. The default for DLLs is
0x10000000. The default for
Windows CE EXEs is 0x00010000.
The default for Windows NT,
Windows 2000, Windows XP,
Windows 95, Windows 98, and
Windows Me is 0x00400000.
32/32
4
SectionAlignment
The alignment (in bytes) of sections
when they are loaded into memory.
It must be greater than or equal to
FileAlignment. The default is the
page size for the architecture.
剩余71页未读,继续阅读
2016-11-17 上传
2021-04-22 上传
2021-04-22 上传
2009-02-12 上传
2009-08-07 上传
2021-04-22 上传
点击了解资源详情
2022-09-23 上传
2020-05-03 上传
weixin_38517997
- 粉丝: 3
- 资源: 922
我的内容管理
展开
最新资源
- 掌握Jive for Android SDK:示例应用的使用指南
- Python中的贝叶斯建模与概率编程指南
- 自动化NBA球员统计分析与电子邮件报告工具
- 下载安卓购物经理带源代码完整项目
- 图片压缩包中的内容解密
- C++基础教程视频-数据类型与运算符详解
- 探索Java中的曼德布罗图形绘制
- VTK9.3.0 64位SDK包发布,图像处理开发利器
- 自导向运载平台的行业设计方案解读
- 自定义 Datadog 代理检查:Python 实现与应用
- 基于Python实现的商品推荐系统源码与项目说明
- PMing繁体版字体下载,设计师必备素材
- 软件工程餐厅项目存储库:Java语言实践
- 康佳LED55R6000U电视机固件升级指南
- Sublime Text状态栏插件:ShowOpenFiles功能详解
- 一站式部署thinksns社交系统,小白轻松上手
