Microsoft PE和COFF文件格式规范详解

"Microsoft 可移植可执行文件和通用目标文件格式文件规范" 本文档详细阐述了Microsoft Windows操作系统中使用的可执行文件（PE）和目标文件（COFF）的格式规范。PE文件，全称为Portable Executable，是Windows系统中用于存放程序代码、数据和元数据的二进制文件。COFF，即Common Object File Format，是更通用的一种目标文件格式，不仅被Windows采用，也在其他操作系统中使用。 PE文件格式包含几个主要部分，它们是： 1. DOS头：PE文件以一个简短的MS-DOS兼容头开始，允许在不支持PE格式的旧系统上执行简单的操作，如显示"这不是一个DOS程序"的提示。 2. PE头：DOS头后面跟着PE标志，紧接着是PE头，包括COFF头和可选头。COFF头提供了有关目标文件的基本信息，如文件类型（是可执行文件、动态链接库还是对象文件）、节的数量等。可选头则包含了关于PE文件的更详细信息，如子系统类型（如Windows GUI或命令行）、文件大小、入口点地址等。 3. 节表：节是PE文件的基本构造单元，包含代码、数据、资源、初始化的和未初始化的数据等。每个节都有自己的名称、虚拟地址、大小等属性，并且可以包含段对齐和文件对齐信息。 4. 数据目录：可选头中包含了一个数据目录，列出了PE文件中的一些重要区域，如导入表、导出表、资源表、异常处理表等。这些表格为操作系统提供了加载和执行程序所需的信息。 5. 节内容：实际的代码和数据就位于各个节中，包括函数、变量、字符串、资源图像等。 6. 重定位信息：PE文件可能需要在不同的内存地址运行，因此包含重定位表，列出需要修正的地址以适应不同的加载地址。 7. 调试信息：通常以PE文件的一部分存在，帮助开发者调试程序，如调试符号表和CV记录。 8. 数字签名：高级的安全特性，允许验证文件的来源和完整性，防止恶意修改。 本规范的8.0修订版于2006年发布，是微软维护的最新版本，适用于开发与Windows平台相关的工具和应用程序。需要注意的是，虽然微软提供了这份规范，但它保留了随时更新而不会通知的权利，这意味着开发者需要定期检查是否有新的修订版本发布。 在遵循这份规范的同时，开发者还需要遵守适用的版权法，并且理解微软可能对某些技术拥有知识产权。除非获得明确的书面许可，否则不得复制、修改或用于衍生作品。微软提供此规范是为了支持Windows平台上软件开发工具的开发，但并不保证其完全完整，开发者在实际使用时仍需谨慎对待。