PE： Portable Executable

COFF： Common Object File Format

跟ELF一样，PE中也允许程序员将变量后函数放到自定义段。在GCC中使用“__attribute__((section)("name"))”，在VISUAL C++中可以使用 “#pragma”编译器指示。

#pragma  data_seg("FOO")

int   global = 1;

#pragma  data_seg(".data")

使用cl 编译器：

开始 –> 所有程序 -> Microsoft Visual Studio ->

Visual Studio Tools -> Developer Command Prompt

cl /c /Za SimpleSectionc.c

/c参数表示只编译，不链接，生成SimpleSection.obj

/Za 参数禁用这些扩展，使得我们的程序跟标准的C/C++ 兼容，使用/Za参数时，编译器自动定义了__STDC__这个宏，我们可以再程序里通过判断这个宏是否被定义而确定编译器是否禁用了Microsoft C/C++ 语法扩展。

Windows下查看可执行文件和目标文件的工具：dumpbin

查看SimpleSection.obj：

dumpbin  /ALL SimpleSection.obj  > SimpleSection.txt

该命令打印出所以目标文件的相关信息，输出到SimpleSection.txt中。

查看基本信息：

D:\Program Files\...>dumpbin SimpleSection.obj /SUMMARY

Microsoft (R) COFF/PE Dumper Version 11.00.50214.1

Copyright (C) Microsoft Corporation.  All rights reserved.

Dump of file SimpleSection.obj

File Type: COFF OBJECT

Summary

4 .bss

C .data

84 .debug$S

18 .drectve

4E .text

COFF文件结构：

COFF文件头包括两部分：一个是描述文件总体和属性的映像头，另外一个是描述该文件中包含的段属性的段表

typedef struct _IMAGE_FILE_HEADER {

WORD    Machine;                   //运行平台

WORD    NumberOfSections;          //区块数目

DWORD   TimeDateStamp;            //文件日期时间戳

DWORD   PointerToSymbolTable;      //指向符号表

DWORD   NumberOfSymbols;          //符号表中的符号数量

WORD    SizeOfOptionalHeader;      //映像可选头结构的大小

WORD    Characteristics;          //文件特征值

} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;

对应“SimpleSection.txt”中的输出信息，“FILE HEADER VALUES”中的内容跟COFF映像头中的成员是一一对应的：

Dump of file SimpleSection.obj

File Type: COFF OBJECT

FILE HEADER VALUES

14C machine (x86)

5 number of sections

4F84D87A time date stamp Wed Apr 11 09:03:54 2012

204 file pointer to symbol table

14 number of symbols

0 size of optional header

0 characteristics

映像头后面紧跟着的是COFF文件的段表，是一个类型为“IMGAE_SECTION_HEADER”结构的数组，数组中每个元素代表一个段，跟ELF文件中的“Elf32_Shdr”很相似。

typedef struct _IMAGE_SECTION_HEADER {

BYTE     Name[IMAGE_SIZEOF_SHORT_NAME];

union {

DWORD    PhysicalAddress;

DWORD    VirtualSize;

} Misc;

DWORD    VirtualAddress;

DWORD    SizeOfRawData;

DWORD    PointerToRawData;

DWORD    PointerToRelocations;

DWORD    PointerToLinenumbers;

WORD     NumberOfRelocations;

WORD     NumberOfLinenumbers;

DWORD    Characteristics;

} IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER;

每个段拥有的属性包括：段名（Section Name）、物理地址（Physical address）、虚拟地址（Virtual address）、原始数据大小（Size of raw data）、段在文件中的位置（File pointer to raw data）、该段的重定位表在文件中的位置（File pointer to relocation table）、该段的行号表在文件中的位置（File pointer to line numbers）、标志位（Characteristics）等。

符号表：

“SimpleSection.txt”的最后一部分是COFF符号表（Symbol table），COFF文件的符号表包含的内容几乎跟ELF文件的符号表一样，主要就是符号名、、符号的类型、所在的位置。

SimpleSection.obj的符号表：

COFF SYMBOL TABLE

000 00CEC426 ABS    notype       Static       | @comp.id

001 80000191 ABS    notype       Static       | @feat.00

002 00000000 SECT1  notype       Static       | .drectve

Section length   18, #relocs    0, #linenums    0, checksum        0

004 00000000 SECT2  notype       Static       | .debug$S

Section length   84, #relocs    0, #linenums    0, checksum        0

006 00000000 SECT3  notype       Static       | .data

Section length    C, #relocs    0, #linenums    0, checksum AC5AB941

008 00000000 SECT3  notype       External     | _global_init_var

009 00000004 UNDEF  notype       External     | _global_uninit_var

00A 00000004 SECT3  notype       Static       | $SG1281

00B 00000008 SECT3  notype       Static       | ?static_var@?1??main@@9@9 (`main'::`2'::static_var)

00C 00000000 UNDEF  notype ()    External     | _printf

00D 00000000 SECT4  notype       Static       | .text

Section length   4E, #relocs    5, #linenums    0, checksum CC61DB94

00F 00000000 SECT4  notype ()    External     | _func1

010 00000020 SECT4  notype ()    External     | _main

011 00000000 SECT5  notype       Static       | .bss

Section length    4, #relocs    0, #linenums    0, checksum        0

013 00000000 SECT5  notype       Static       | ?static_var2@?1??main@@9@9 (`main'::`2'::static_var2)

String Table Size = 0x5D bytes

第三列是符号所在的位置，“ABS”表示符号的绝对值，它不存在于任何段中；SECT1（Section#1）表示符号所表示的对象定义在COFF文件的第一个段中，即本例中的.drectve段；UNDEF（Undefined）表示符号是未定义的，即这个符号被定义在其他目标文件中的。Static表示绝不变量，External表示全局变量。

“_global_init_varabal”这个符号位于Section#3即 .data段，它的长度是4个字节，可见范围是全局的。

PE文件是基于COFF扩展，比COFF文件多了几个结构。最主要的变化有两个：第一个是文件最开始部分不是COFF文件头，而是DOS MZ可执行文件格式的文件头和桩代码，第二个变化是原来的COFF文件头中的“IMAGE_FILE_HEADER”被扩展成为了PE文件头结构“IMGAE_NT_HEADERS”

PE 文件格式