本文來自
(1)騰訊元寶
(2)程序員的自我修養
PE(Portable Executable)是一種文件格式,主要用于Windows操作系統中的可執行文件(如.exe、.dll、.sys等)。PE格式是Windows操作系統中標準的可執行文件格式,由微軟開發,廣泛應用于32位和64位的Windows系統中。
Portable :?[計] 可移植的
PE文件格式的主要特點:
-
?跨平臺兼容性:
- 盡管PE格式主要用于Windows,但其設計具有一定的可移植性,可以在不同的硬件架構上運行(如x86、x64等)。
-
?結構清晰:
- PE文件由多個部分組成,包括文件頭、節表(Section Table)、數據節(Sections)等。每個部分都有明確的功能和用途。
-
?支持多種文件類型:
- PE格式不僅用于可執行文件(.exe),還用于動態鏈接庫(.dll)、設備驅動程序(.sys)等。
-
?豐富的元數據:
- PE文件中包含大量元數據,如導入表、導出表、資源表等,這些信息用于描述文件的運行環境和依賴關系。
-
?支持動態鏈接:
- PE格式支持動態鏈接庫(DLL),允許程序在運行時加載和調用外部代碼。
PE文件的主要結構:
-
?DOS頭(DOS Header)?:
- 用于兼容早期的DOS系統,包含一個簡單的DOS程序(通常是提示“此程序不能在DOS模式下運行”)。
-
?PE文件頭(PE Header)?:
- 包含文件的基本信息,如文件類型(32位或64位)、入口點地址、節表數量等。
-
?可選頭(Optional Header)?:
- 包含更詳細的信息,如代碼段大小、數據段大小、堆棧大小、入口點地址等。
-
?節表(Section Table)?:
- 描述文件中各個節(Section)的信息,如代碼節、數據節、資源節等。
-
?節(Sections)?:
- 包含實際的數據和代碼,如.text(代碼)、.data(數據)、.rsrc(資源)等。
PE文件的應用:
- ?可執行文件(.exe)?:Windows程序的主要執行文件。
- ?動態鏈接庫(.dll)?:包含可被多個程序共享的代碼和資源。
- ?設備驅動程序(.sys)?:用于與硬件設備交互。
- ?其他文件類型:如控制面板擴展(.cpl)、屏幕保護程序(.scr)等。
PE格式是Windows生態系統中非常重要的一部分,了解其結構和功能對于開發、調試和逆向工程都有重要意義。
ELF(Executable and Linkable Format,可執行與可鏈接格式)是一種廣泛用于類Unix操作系統(如Linux、BSD等)中的標準文件格式,用于表示可執行文件、目標文件(object files)、共享庫(shared libraries)以及核心轉儲文件(core dumps)。ELF格式由Unix系統實驗室(USL)開發,現已成為類Unix系統中的主流文件格式。
ELF文件格式的主要特點:
-
?跨平臺兼容性:
- ELF格式支持多種硬件架構(如x86、ARM、MIPS、RISC-V等),使其能夠在不同的平臺上使用。
-
?模塊化設計:
- ELF文件由多個部分組成,每個部分都有明確的功能,使得文件結構清晰且易于擴展。
-
?支持多種文件類型:
- ELF格式不僅用于可執行文件,還用于目標文件、共享庫和核心轉儲文件。
-
?動態鏈接支持:
- ELF格式支持動態鏈接,允許程序在運行時加載和調用共享庫中的函數。
-
?豐富的元數據:
- ELF文件中包含大量元數據,如符號表、重定位表、段表等,這些信息用于描述文件的運行環境和依賴關系。
ELF文件的主要結構:
-
?ELF頭(ELF Header)?:
- 包含文件的基本信息,如文件類型(可執行文件、目標文件等)、目標架構、入口點地址、段表(Section Header Table)和程序頭表(Program Header Table)的位置等。
-
?程序頭表(Program Header Table)?:
- 描述文件中的段(Segments)信息,用于加載和執行程序。每個段對應一個程序頭表項。
-
?段頭表(Section Header Table)?:
- 描述文件中的節(Sections)信息,用于鏈接和調試。每個節對應一個段頭表項。
-
?段(Segments)?:
- 包含實際的數據和代碼,如代碼段(.text)、數據段(.data)、只讀數據段(.rodata)等。段是加載和執行程序時的基本單位。
-
?節(Sections)?:
- 包含更細粒度的數據和代碼,如符號表(.symtab)、字符串表(.strtab)、重定位表(.rel.text)等。節是鏈接和調試時的基本單位。
ELF文件的應用:
- ?可執行文件:用于運行程序,如Linux中的可執行文件(如
/bin/ls)。 - ?目標文件(.o)?:編譯過程中生成的中間文件,包含未鏈接的代碼和數據。
- ?共享庫(.so)?:包含可被多個程序共享的代碼和資源,如Linux中的動態鏈接庫(如
libc.so)。 - ?核心轉儲文件(core dump)?:程序崩潰時生成的文件,用于調試和分析。
ELF與PE的區別:
- ?操作系統:ELF主要用于類Unix系統(如Linux、BSD),而PE主要用于Windows系統。
- ?文件結構:ELF和PE的文件結構有所不同,ELF更強調模塊化和跨平臺兼容性,而PE更注重與Windows系統的集成。
- ?動態鏈接:ELF和PE都支持動態鏈接,但實現方式有所不同。
ELF格式是類Unix生態系統中非常重要的一部分,了解其結構和功能對于開發、調試和逆向工程都有重要意義。
COFF(Common Object File Format,通用對象文件格式)是一種用于表示可執行文件、目標文件(object files)和庫文件的標準文件格式。它最初由AT&T的Unix系統實驗室(USL)開發,并被廣泛應用于早期的Unix系統(如System V)以及一些現代操作系統(如Windows)中。COFF是ELF(Executable and Linkable Format)的前身,許多現代文件格式(如PE和ELF)都受到了COFF的啟發。
COFF文件格式的主要特點:
-
?模塊化設計:
- COFF文件由多個部分組成,每個部分都有明確的功能,使得文件結構清晰且易于擴展。
-
?支持多種文件類型:
- COFF格式不僅用于可執行文件,還用于目標文件和庫文件。
-
?符號表和重定位信息:
- COFF文件中包含符號表(Symbol Table)和重定位信息(Relocation Information),這些信息用于鏈接和調試。
-
?支持分段存儲:
- COFF文件將代碼和數據分成多個段(Sections),如代碼段(.text)、數據段(.data)、只讀數據段(.rodata)等。
COFF文件的主要結構:
-
?文件頭(File Header)?:
- 包含文件的基本信息,如文件類型(可執行文件、目標文件等)、目標架構、段表(Section Table)和符號表(Symbol Table)的位置等。
-
?段表(Section Table)?:
- 描述文件中的段(Sections)信息,每個段對應一個段表項。段表中包含段的名稱、大小、偏移量等信息。
-
?段(Sections)?:
- 包含實際的數據和代碼,如代碼段(.text)、數據段(.data)、只讀數據段(.rodata)等。段是鏈接和調試時的基本單位。
-
?符號表(Symbol Table)?:
- 包含文件中定義的符號(如函數名、變量名)及其相關信息,用于鏈接和調試。
-
?重定位信息(Relocation Information)?:
- 包含需要在鏈接時進行重定位的地址信息,用于將目標文件鏈接成可執行文件或共享庫。
COFF文件的應用:
- ?目標文件(.o)?:編譯過程中生成的中間文件,包含未鏈接的代碼和數據。
- ?可執行文件:用于運行程序,如早期的Unix系統中的可執行文件。
- ?庫文件(.a)?:包含多個目標文件的集合,用于靜態鏈接。
COFF的演變:
- ?ELF格式:ELF格式是COFF的繼任者,廣泛應用于現代類Unix系統(如Linux、BSD)中。ELF在COFF的基礎上進行了擴展和優化,支持更多的特性和更復雜的文件結構。
- ?PE格式:Windows操作系統中的PE(Portable Executable)格式也受到了COFF的啟發,PE文件頭中包含一個COFF文件頭。
COFF的局限性:
- ?靈活性不足:COFF格式的設計相對簡單,缺乏對現代操作系統和硬件架構的支持。
- ?擴展性有限:COFF格式的段表和符號表的結構較為固定,難以支持復雜的文件結構和元數據。
盡管COFF格式在現代操作系統中已經逐漸被ELF和PE等更先進的格式所取代,但它在計算機歷史上具有重要地位,為后來的文件格式設計提供了基礎和借鑒。
 構造函數、析構函數)
與 Intrinsic Metric(內在度量))
)
之添加列寬調整功能,示例Table14_13可展開行的固定表頭表格)
