一个coff文件格式的观察

最新推荐文章于 2023-06-10 17:57:57 发布
最新推荐文章于 2023-06-10 17:57:57 发布
阅读量1.5k 收藏
点赞数
文章标签: image header file microsoft struct numbers
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ljljlj/article/details/3019843
版权


一个coff文件格式的观察
                                      -- 2008-10-4 ljhhh0123

    我采用自底向上的方法来学习coff文件格式,并体会汇编器的行为,
这是一个好方法.用vc6.0sp6编译的lcc将hello1.c
编译成汇编语言,再用masm32v8的汇编器得到的.obj文件,倾印下来,
本文的二进制字节序为little-endlian.

    基本工具:  记事本+WinHex+ida+各种pe&coff学习资料

    基本方法是: 选用winhex打开.obj文件,将内容以二进制方式复制到
记事本,然后就是边看资料,边从winhex上找到位置,边在记事本里断行和加
注释,另外还动用了masm32v8自带的工具dumpbin.exe和ida来找到各部分之
间的分界点.最后的结果如下.

-----可选文件头----

4C01           CPU识别码
0200           段数
43C5E548 日期戳
A6000000    符号表指针
0E000000    符号个数
0000           可选头大小
0000           标志

----段表--2项--

2E74657874000000 .text/0/0/0/0
00000000               第一个段的位置
00000000               在obj中总为0
2E000000               段大小
64000000               段的起始位置,相对于obj文件
92000000               重定位信息的位置
00000000               行号表的位置
0200                      重定位项目数
0000                      行号个数
20005060               段标志字   IMAGE_SCN_MEM_EXECUTE | IMAGE_SCN_MEM_READ
                                               | IMAGE_SCN_ALIGN_16BYTES | IMAGE_SCN_CNT_CODE 

2E64617461000000 .data/0/0/0
2E000000               第二个段的位置(第一个段起址加上第一个段的大小)
00000000
00000000
00000000
00000000
00000000
0000
0000
400050C0                                IMAGE_SCN_MEM_READ | IMAGE_SCN_MEM_WRITE 
                                               | IMAGE_SCN_ALIGN_16BYTES |

E_SCN_CNT_INITIALIZED_DATA

----具体的段.text 长度0x2E----

535657558BEC8D3D0000000057E80000
000083C404B8000000008BE55D5F5E5B
C348656C6C6F20576F726C642100

----重定位表----2项----

08000000              段内偏移
0C000000              在符号表内的索引
0600                     属性  重定位目标的32位虚拟地址

0E000000
0B000000              在符号表内的索引
1400                     属性  重定位目标的32位相对偏移
                           

----符号表--0xe项--

2E66696C65000000".file/0/0/0"
00000000
FEFF                     只是个调试符号
0000
67                         源文件符号记录。后面跟着给出文件名的辅助符号表记录。
03                                 附加记录数,就是下面三项数据不作具体的符号用.

433A5C444F43554D
457E315C6C6A685C4C4F
43414C537E315C54
656D705C6C6363313435
32312E61736D0000
00000000000000000000

40636F6D702E6964        "@comp.id"
FC201200
FFFF                             这个符号值是个常量.
0000
03                                 存储类型为static
00

2E74657874000000       ".text/0/0/0"
00000000
0100                            属于第一个段
0000
03
01                                 附加记录1项
2E00000002000000
00000000000000000000

2E64617461000000         ".data/0/0/0"
00000000
0200                              段号,即第二个段
0000
03
01                                 附加记录1个
0000000000000000
00000000000000000000

00000000
04000000                以字符串表为开始,偏移四的位置取出.
00000000
0000
2000                        函数类型
02                            external
00

5F5F66746F6C0000   "__ftol/0/0"
00000000
0000
2000                        函数类型
02                            external
00
5F70757473000000   "_puts/0/0/0"
00000000
0000
2000                       
02                            external
00
4C33000000000000   "L3"
21000000
0100                        符号所在段的索引
0000
03                           static
00
5F6D61696E000000 "_main/0/0/0"
00000000
0100                        段号
2000                        函数类型
02                            external
00

----字符串表----

0E000000                      总长度=本长度占的4字节+以0结尾的字符串的长度(包括0)
5F5F666C747573656400  "__fltused/0"

--------
附录A为开发环境所带的数据结构定义,
附录B为masm32v8下所执行的"dumpbin.exe /all hello1.obj"列印.
附录C为hello1.c文件和lcc生成的汇编语言文件倾印.

注:将些文章内的二进制数据复制到winhex内即可还原成hello1.obj文件.大小为0x1b0.

附录A:
typedef struct _IMAGE_FILE_HEADER {
    WORD    Machine;
    WORD    NumberOfSections;
    DWORD   TimeDateStamp;
    DWORD   PointerToSymbolTable;
    DWORD   NumberOfSymbols;
    WORD    SizeOfOptionalHeader;
    WORD    Characteristics;
} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;

typedef struct _IMAGE_SECTION_HEADER {
    BYTE    Name[IMAGE_SIZEOF_SHORT_NAME];
    union {
            DWORD   PhysicalAddress;
            DWORD   VirtualSize;
    } Misc;
    DWORD   VirtualAddress;
    DWORD   SizeOfRawData;
    DWORD   PointerToRawData;
    DWORD   PointerToRelocations;
    DWORD   PointerToLinenumbers;
    WORD    NumberOfRelocations;
    WORD    NumberOfLinenumbers;
    DWORD   Characteristics;
} IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER;

typedef struct _IMAGE_RELOCATION {
    union {
        DWORD   VirtualAddress;
        DWORD   RelocCount;            
    };
    DWORD   SymbolTableIndex;
    WORD    Type;
} IMAGE_RELOCATION;

typedef struct _IMAGE_SYMBOL {
    union {
        BYTE    ShortName[8];
        struct {
            DWORD   Short;     // if 0, use LongName
            DWORD   Long;      // offset into string table
        } Name;
        PBYTE   LongName[2];
    } N;
    DWORD   Value;
    SHORT   SectionNumber;
    WORD    Type;
    BYTE    StorageClass;
    BYTE    NumberOfAuxSymbols;
} IMAGE_SYMBOL;

附录B:
Microsoft (R) COFF Binary File Dumper Version 5.12.8078
Copyright (C) Microsoft Corp 1992-1998. All rights reserved.

Dump of file hello1.obj

File Type: COFF OBJECT

FILE HEADER VALUES
             14C machine (i386)
               2 number of sections
        48E5C543 time date stamp Fri Oct 03 15:09:55 2008
              A6 file pointer to symbol table
               E number of symbols
               0 size of optional header
               0 characteristics

SECTION HEADER #1
   .text name
       0 physical address
       0 virtual address
      2E size of raw data
      64 file pointer to raw data
      92 file pointer to relocation table
       0 file pointer to line numbers
       2 number of relocations
       0 number of line numbers
60500020 flags
         Code
         16 byte align
         Execute Read

RAW DATA #1
  00000000: 53 56 57 55 8B EC 8D 3D 00 00 00 00 57 E8 00 00  SVWU...=....W...
  00000010: 00 00 83 C4 04 B8 00 00 00 00 8B E5 5D 5F 5E 5B  ............]_^[
  00000020: C3 48 65 6C 6C 6F 20 57 6F 72 6C 64 21 00        .Hello World!.

RELOCATIONS #1
                                                Symbol    Symbol
 Offset    Type              Applied To         Index     Name
 --------  ----------------  -----------------  --------  ------
 00000008  DIR32                      00000000         C  L3
 0000000E  REL32                      00000000         B  _puts

SECTION HEADER #2
   .data name
      2E physical address
       0 virtual address
       0 size of raw data
       0 file pointer to raw data
       0 file pointer to relocation table
       0 file pointer to line numbers
       0 number of relocations
       0 number of line numbers
C0500040 flags
         Initialized Data
         16 byte align
         Read Write

COFF SYMBOL TABLE
000 00000000 DEBUG  notype       Filename     | .file
    C:/DOCUME~1/ljh/LOCALS~1/Temp/lcc14521.asm
004 001220FC ABS    notype       Static       | @comp.id
005 00000000 SECT1  notype       Static       | .text
    Section length   2E, #relocs    2, #linenums    0, checksum        0
007 00000000 SECT2  notype       Static       | .data
    Section length    0, #relocs    0, #linenums    0, checksum        0
009 00000000 UNDEF  notype ()    External     | __fltused
00A 00000000 UNDEF  notype ()    External     | __ftol
00B 00000000 UNDEF  notype ()    External     | _puts
00C 00000021 SECT1  notype       Static       | L3
00D 00000000 SECT1  notype ()    External     | _main

String Table Size = 0xE bytes

Summary
          0 .data
        2e .text

附录C: hello1.c and hello1.asm

#include "stdio.h" /*借用djgpp的include目录.*/
main()
{puts("Hello World!");
}

.486
.model flat
extrn __fltused:near
extrn __ftol:near
public _main
_TEXT segment
_main:
push ebx
push esi
push edi
push ebp
mov ebp,esp
lea edi,(L3)
push edi
call _puts
add esp,4
mov eax,0
L2:
mov esp,ebp
pop ebp
pop edi
pop esi
pop ebx
ret
_TEXT ends
extrn _puts:near
_TEXT segment
_TEXT ends
_TEXT segment
align 1
L3 label byte
db 72
db 101
db 108
db 108
db 111
db 32
db 87
db 111
db 114
db 108
db 100
db 33
db 0
_TEXT ends
end

----本文完毕----

 

ljhhh0123
关注
[系统安全] PE文件格式分析实战基础—分析helloworld文件
H4ppyD0g的博客
12-30 764
本文为笔者从零基础学习系统安全相关内容的笔记,如果您对系统安全、逆向分析等内容感兴趣或者想要了解一些内容,欢迎关注。本系列文章将会随着笔者在未来三年的读研过程中持续更新,由于笔者现阶段还处于初学阶段,不可避免参照复现各类书籍内容,如书籍作者认为侵权请告知,笔者将立刻删除。强调本系列所有内容仅作为学习研究使用,作者对此文章中的代码造成的任何后果不负法律责任。
UNIX/LINUX 平台可执行文件格式分析
shanzhizi的专栏
10-21 1572
可执行文件格式综述 来自:http://www.ibm.com/developerworks/cn/linux/l-excutff/#resources 相对于其它文件类型,可执行文件可能是一个操作系统中最重要的文件类型,因为它们是完成操作的真正执行者。可执行文件的大小、运行速度、资源占用情况以及可扩展性、可移植性等与文件格式的定义和文件加载过程紧密相关。研究可执行文件的格式对编写高性
coff文件简单分析
zzljn的专栏
07-05 2407
    最近事情比较多,驱动开发要放点时间在详细研究。说下coff格式的详细内容吧,window下就是编译过程中产生的obj文件,linux下为out文件。首先看下http://baike.baidu.com/view/1240794.htm的内容吧,其中内容基本正确,这里只做一些补充  首先提供各我写的例子,本来就是自己看,所以变量值就用断点看吧。 用来生成例子obj的工程
PE文件和COFF文件格式分析--概述
方亮的专栏
07-03 8935
刚工作的时候,我听说某某大牛在做病毒分析时,只是用notepad打开病毒文件,就能大致猜到病毒的工作原理。当时我是佩服的很啊,同时我也在心中埋下了一个种子:我也得有这天。随着后来的工作进行,一些任务的和这个理想有了交集,这得以让我有足够的时间和精力去细细研究PE文件和COFF文件格式。(转载请指明出处)         如果有一定的英语基础的朋友,可以查看微软原稿(http://www.micr
pe-coff-viewer:使用浏览器查看pe coff文件
02-18
PE COFF查看器 用于浏览器的非常简单的PE COFF查看器。 将pe文件(.exe,.dll)拖到空白区域。 演示网址: 尖端 使用ctrl键并单击以在base 10和base 16之间更改基数。
利用ccstudio提供的工具解析出coff文件
工作记录--创造或收集原创
11-26 1421
利用ccstudio提供的工具解析出coff文件 文件路径 : CCStudio_v3.3\C6000\cgtools\bin\ofd6x.exe 命令参数:  ofd6x.exe -g main.obj   > main.txt main.obj只需要编译过就对,不一定需要链接通过。、 main.obj文件的源代码:
PEMaster(PE/COFF文件分析提取)
02-08
PE文件、LIB文件,OBJ文件分析,OBJ文件提取,此项目为开源项目,SVN地址在资源README.TXT中。
易语言源码易语言COFF转换工具源码.rar
03-30
在这个"易语言源码易语言COFF转换工具源码.rar"压缩包中,包含的是一个易语言编写的程序,该程序的功能是将易语言编译后的程序转换成COFF(Common Object File Format)格式。 COFF是一种通用的目标文件和可执行...
python读取arff文件_ARFF文件格式
weixin_32516009的博客
02-11 3722
Attribute -Relation File Format (ARFF)1、ARFF 头章节包括关系声明和属性声明关系声明(@ralation Declaration)关系声明在ARFF文件的第一行定义。格式如下:@relation 是一个字符串。如果名字包含空格,那么这个字符串必须加引号。属性声明(The @attribute Decarations)属性声明是以一个有序的属性陈列的形式表述...
PE Coff 文件解析器 C#实现
09-28
PE Coff 文件解析器 C#实现 PE是Portable Executable 的缩写, COFF是Common Object File Format 的缩写。前者指的是可移植执行体,例如DLL,EXE文件等;后者指的是通用目标文件格式,例如Vc/Vc++ 编译原文件生成的OBJ文件,还有LIB文件等。了解这两种格式可以为你揭示源码到指令执行的许多密秘。我想你看到这篇文章,就是冲着这些密秘来的。
coff文件格式详细说明、有关DSP的coff说明、图_文实例解剖coff (合集)
07-18
三文档合集 coff详细说明.doc DSP-coff.doc 图、文解剖coff.doc
记:COFF文件下的解析说明
liquid soul
01-24 1412
0x00 序言 本文是因为当前的COFF文件中对于当前的芯片的软件构建,COFF本身是在很久以前的文件了,所以现在在互联网上的资料极少,且当年的COFF文件主要是在替换a.out文件格式,也就是对其的可扩展性增加。而ELF也是对于其的增加,COFF就被夹在了中间,所以这份COFF文档会和我的ELF解析差不多。 而因为COFF已经是上个世纪的不需要太对兼容负责的程序格式了,所以自然也就是直接淘汰在现在的执行序列里面了,除了固定的一些应用场景,已经越来越少看到这类文件了。 而且现在的解析器也越来越少,所以很多软
COFF - 中间文件格式解析
weixin_30512043的博客
03-19 459
G Common Object File Format (COFF) Overall structure 630 File header 632 Optional header 633 Section headers 634 Raw data sections 636 COFF relocation information 637 Li...
DSP篇--C6701的COFF文件有效数据分析与提取
nanke_yh的博客
09-18 995
前段时间入职就接受了这样一个任务,其难点在于对COFF文件结构的分析,需要参考相关的资料: 1、苗军,倪奇志.COFF文件分析提取器的实现及其应用[J].现代电子技术,2009,32(02):42-44+47. 2、TMS320C6000 Assembly Language Toolsv6.0 BetaUser's Guide中 A:common object file format...
简单理解COFF文件
最新发布
小木子先生的博客
06-10 1740
COFF文件是我在初学对象模型的时候看底层代码用的,是通过obj文件转换的,也就是一种目标文件官方描述:COFF(Common Object File Format)是一种常见的目标文件格式,用于存储可重定位目标文件、静态库文件和可执行文件。COFF最初由UNIX System Laboratories(USL)定义,现在被广泛地使用在各种操作系统上,包括Windows、Linux和BSD等。
PE文件和COFF文件格式分析(1)
yu_sn0w的博客
02-28 783
本文主要来自相关系列博文(breaksoftware的csdn博客 https://blog.csdn.net/breaksoftware/article/details/7710323)。 自己,稍微调整,整理。 MS 2.0节是PE文件格式中第一个“节”。其大致结构如下: 在VC\PlatformSDK\Include\WinNT.h文件中有对MS-DOS 2.0兼容EXE文件头的完整定义 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值