探索 PE 文件内幕
—— Win32 可移植可执行文件格式之旅
作者:Matt Pietrek
一种操作系统之上的可执行文件格式从许多方面反映了这种操作系统本身的情况。尽管研究
可执行文件格式并不是大多数程序员的首要任务,但从中你却能够获得许多知识。在本文中,我
要带你游历可移植可执行(Portable Executable,PE)文件格式,它是 Microsoft 设计用于所
有基于 Win32®的系统,包括 Windows NT®、Win32s™以及 Windows 95 之上的可执行文件格式。在
可预见的将来,PE 格式会在 Microsoft 的所有操作系统中扮演重要角色,其中包括 Windows 2000。
如果你使用过 Win32s 或 Windows NT,那么你已经使用过 PE 文件了。即使你只是使用 Visual C++®
为 Windows 3.1 编写程序,你也使用了 PE 文件(Visual C++的 32 位 MS-DOS®扩展组件使用这种
格式)。简而言之,PE 格式已经深入到各种系统以及系统的各个角落,在将来不可避免要碰到
它。现在是找出这种新型的可执行文件格式到底给操作系统带来了什么好处的时候了。
我并不是让你从无穷无尽的十六进制数据的角度去研究 PE 文件格式,也不是让你记住整页
整页的 PE 文件中各个位的含义。相反,我要向你呈现嵌入在 PE 文件格式中的内容以及它们与你
日常工作之间的关系。例如下面的语句中涉及到的线程局部变量的概念:
__declspec(thread) int i;
曾经几乎让我发疯,直到我看到它在可执行文件中是如何简洁优美地被实现的。由于你们中许多
人都来自 16 位的 Windows,所以我会把 Win32 PE 文件格式的结构与 16 位 NE 文件格式中等价的
内容作一比较。
除了不同的可执行文件格式之外,Microsoft 也在他的编译器和汇编程序生成的目标文件中
使用了新的格式。这种新的 OBJ 文件格式与 PE 可执行文件格式有许多相同的地方。我虽然试图
去寻找这种新的 OBJ 文件格式的文档,但最终一无所获。因此我要以自己的方式来解密这种格式,
在这里我除了讲解 PE 格式之外也会讲解它的部分内容。
众所周知,Windows NT 继承自 VAX® VMS®和 UNIX。Windows NT 的许多创建者在到 Microsoft
之前都曾为这些平台设计和编写程序。当他们设计 Windows NT 时,很自然会使用以前写过的和
测试过的工具以尽快开始他们的新项目。这些工具产生的和使用的可执行文件和目标模块的格式
被称为 COFF(Common Object File Format 的首字母,通用目标文件格式)。你从 COFF 的一些
域所用的竟然是八进制形式的数据就可以看出它是多么老。COFF 格式本身是很好的起点,但需
要扩充才能满足现代操作系统,例如 Windows NT 或者 Windows 95 的需要。结果就产生了可移植
可执行格式。它之所以被称为“可移植”是因为 Windows NT 在各种平台(x86、MIPS®、Alpha
等等)上的所有实现都使用同样的可执行文件格式。当然,像 CPU 指令的二进制编码之类的内容
会有所不同。重要的是操作系统加载器和编程工具不需要针对遇到的每种新的 CPU 再完全重写。
从 Microsoft 抛弃现有的 32 位工具和文件格式上可以看出它承诺让 Windows NT 运行得更快
的决心。16 位 Windows 上的虚拟设备驱动程序使用的是不同的 32 位文件格式——LE 格式,它在
Windows NT 出现之前很早就出现了。比这更重要的是更换了 OBJ 文件的格式。在 Windows NT 的
C 编译器之前,所有的 Microsoft 编译器使用的都是 Intel 的 OMF(Object Module Format,目
标模块格式)规范。正如前面提到的那样,Microsoft 的 Win32 编译器产生的都是 COFF 格式的
OBJ 文件。一些 Microsoft 的竞争者,例如 Borland 和 Symantec,放弃 COFF 格式的 OBJ 而继续
剩余33页未读,继续阅读
资源评论
