Windows的gcc环境,往官网http://sourceforge.net/project/showfiles.php?group_id=2435 下载MinGW,安装,安装完毕后按照包
配置环境变量
a.在PATH的值中加入"C:\Program Files\MinGWStudio\MinGW\bin"。这是寻找gcc编译器的路径。如果PATH中还有其他内容,需要用英文状态下分号进行分割
b.新建LIBRARY_PATH变量,在其值中加入"C:\Program Files\MinGWStudio\MinGW\lib"。这是标准库存放的路径。
c.新建C_INCLUDE_PATH变量,在其值中加入"C:\Program Files\MinGWStudio\MinGW\include"。这是Include查找头文件的路径。
先是一个及其简单的C程序
Hello.c
预处理
C:\Users\居士\Desktop\Update\Link C>gcc -E hello.c -o hello.i
i文件局部
如上图#后面的数字 210代表行号 stdio.h中能找到对应代码
编译
C:\Users\居士\Desktop\Update\Link C>gcc -S hello.i -o hello.s
编译后的 内容仍然是文本,打开s文件仍然可以看懂其内容
学过汇编的人能看懂里面表达啥,对于我而言只认得pushl,movl,andl等几个指令,以及%ebp,%esp这几个寄存器,还有常数$-16,$0。其余cif_offset这些就需要百度才知道了。总体来说还是看不懂的。
汇编
C:\Users\居士\Desktop\Update\Link C>gcc -c hello.s -o hello.o
汇编得到的是一个二进制的文件,是一个可重定向目标文件,里面包含着机体代码。这里虽然表面上是一个o文件,由于本人使用的是Windows平台,编译出来的还是类似于通过VC编译出来的obj格式的文件,而并非Linux平台下的ELF文件。
在网上找的命令可以通过下面命令看到格式化后的o文件
C:\Users\居士\Desktop\Update\Link C>readelf -a hello.o
但是在windows下生成的实际上是obj文件,用VS的另一个工具可以打开,该工具在以下目录
D:\Program Files (x86)\Microsoft Visual Studio 12.0\VC\bin\dumpbin.exe
命令为dumpbin /all {目标文件文件名} > {输出文件的文件名}
因此之前看书上面说的ELF文件的格式就对不上了,文件的结构需要找别的资料去参考。这里借助了dumpbin以外还使用了CFF Explorer。
obj文件内容分析
在网上看过别人分析的obj文件是用在VC下写的一段很简单的C++代码生成的,和我这个用MinGW的gcc下的C程序有出入。
总的来说无论是obj还是o文件,都是基于COFF(Common Object File Format)文件,它与我们平常写的代码不一样,它是有一个一定格式的文件,链接器(或加载器)则按照这个结构来链接(或执行)这些文件,先罗列一下整个obj文件的结构
File Header 文件头
Optional Header
Section Header Table 节头部表
Section Raw Data 节的原始数据
Relocation Table 重定向表
Symbol Table 符号表
String Table 字符串表
再看通过dumpbin生成的文件
FILE HEADER:文件头
这个文件头在obj文件中占了0~13共14个字节。
这个文件头的大小是固定的,它实际上是winnt.h里面的一个结构体。细心的可以发现结构中一些值是直接以数值的形式存放在文件中,例如machine的值14C,存放为4C 01,符号表的地址指针1B8,存放成B8 01。我想表达的是因为windows是采用了小段法存放数据的机器,高低位间作了互换。Winnt.h文件在C:\Program Files (x86)\Microsoft SDKs\Windows\v7.0A\Include目录中(我的是64位系统)。结构体定义如下
各个字段的解析可以参考MSDN上的内容
结构体解析 https://msdn.microsoft.com/zh-cn/library/windows/desktop/ms680313(v=vs.85).aspx
大体就是说了编译时机器的情况,时间,还有与本文件关系大的符号表的位置,符号的数量,optional header的数量。
接下来就是各个节的说明了,先已第一个节作为例子,介绍完这个节的结构后再通过CFF Explorer对比o文件里的内容。再去介绍各个节的作用。
这里包含了节的头部,节的原始数据,还有一个重定向表,节的头部是这样的一个结构
头部的作用是描述整个节的信息,例如SizeOfRawData代表原始数据的数量,PointerToRawData即是原始数据起始的地址。NumberOfRelocations是重定向条目的数量。
节头部数据结构详情可参考MSDN中的以下位置 https://msdn.microsoft.com/en-us/library/windows/desktop/ms680341(v=vs.85).aspx
Raw Data则是节的原始数据,这里其实没啥结构的,不同的节就存放他们对应的数据。
Relocations是重定位信息,实际上它是重定位表的一部分,只属于这个节的一部分。这个重定向的一个条目结构如下,
这个就是在链接时给引用外部的符号重定位时用的
以上仅是该o文件中最全的一个节的结构,当然还有可能会有其他的"节成员",只是当前这个C程序太简单,以致其他成员未出现。但是不是每个节都有原始数据,有些节是空的,有些节就不带重定向信息。
下面逐个看这个o文件里面的每个节。
第一个节是.text节,图不再截了,就之前的那个图,.text节存放的是已编译的机器代码。利用objdump工具可以看到这节的原始数据(也就是机器代码整理后的结果),命令如下
要看懂这些指令的话,还需要懂得处理器的指令集(参考《深入了解计算机系统》的第四章)。
第二节是是data节,按书上的介绍data节是存放已初始化的全局或静态C变量,这个C程序中没有用到全局变量或静态变量,这节就没有内容
第三节是bss节,是存放未初始化的全局或静态C变量,以及被初始化为0的全局或C变量,但是这个姐实际不占用控件
第四个节是rdata节,放的就是只读数据,这里存在了一个宏定义,"hello c!"这样的一个字符串,这部分数据就存放在这一节中
第五个节叫"/4",rdata$zzz估计是别名,不知具体的作用,貌似是存放了编译器的信息,版本之类的
第六个节叫"/15",eh_frame,更加不知道他的作用,貌似是有对.text节的引用,难道是调用main函数外层的东西?
节部分完结了之后就是符号表
符号表的介绍直接引用MSDN的内容
对于以符号号码开头的行,下列说明描述了含有与用户相关的信息的列:
- 开头的 3 位数字是符号索引/号码。
- 如果第三列包含 SECTx,则符号在对象文件的那一节中定义。 但如果出现 UNDEF,则它不在那个对象中定义并且必须在其他地方被解析。
- 第五列 (Static, External) 说明符号是否只在那个对象的内部可见,或者是否是公共的(外部可见)。 静态符号 _sym 不会链接到公共符号 _sym;这些符号是名为 _sym 的函数的两种不同实例。
编号行中的最后一列是符号名(修饰名和未修饰名)
来自 <https://msdn.microsoft.com/zh-cn/library/b842y285.aspx>
每条符号表的记录是一下的结构
有几条记录是多出了一行的,那部分数据是对这个符号的补充说明,结构如下
在符号表之后就是字符串表了,但是在dumpbin生成d文件中只是列举了字符串表的大小
但在其他资料中介绍,字符串表示存放着节名的字符串。听过CFF Explorer中的内容查看,确实定义了4个字符川,就是重复的.rdata$zzz和.eh_frame
dumpbin如何分析得出这个o文件
那又有一个问题来了,编译系统是如何根据这份二进制的o文件来读取到这些信息呢,尝试一下通过CFF Explorer来分析读取到这个文件的信息,人为模拟一下dumpbin的工作。这个过程推导出前面那个obj文件结构这个结论。
首先是读取固定大小的文件头,通过文件头的结构获取到几个与本个o文件有关的信息:
- 有6个节
- 符号表的起始位置是1B8,符号数量是12个
那么就相当于把o文件已经分成了几块
| 文件头 | 未知部分1 | 符号表 | 未知部分2 |
| 0~13 | 14~1B7 | 1B8~?? | ??~329 |
那么节这部分有可能存放在未知部分1中。查看各个节的头部信息,分析出节1到节6是从104~18F。可以查看各个节的原始数据得出
其他节就不一一列举了
另外还有各个节头部信息中提及到的重定位信息,整个文件有中重定位信息只有两个节:节1的重定位是190开始;节6的重定位信息是1AE开始,节1的重定位项有3个,节6的重定位项有1个,粗略推断节1的重定位信息是重190~1AD,节6的重定位信息是1AE~1B7,每条重定位信息的长度大概是10个字节
如
是对应
0A 00估计对应Offset,10 00对应Symbol Index,14 00对应Type,可视Applied To这个就解析不清了,因为节6的重定位信息如下
还有字符串表的信息,字符串的大小是一个4字节用小端法存储的无符号整数,2E应该是2E 00 00 00,纵观整个文件存放了这个信息的就在位置为2FC处,因此估计字符串表是从2FC处到329结尾处了
| 文件头 | 未知部分1 | 节原始数据 | 重定向表 | 符号表 | 字符串表 |
| 0~13 | 14~103 | 104~18F | 190~1B7 | 1B8~2FB | 2FC~329 |
剩余的未知部分1应该就是存放节头部信息的节头部表,从14~103,也是通过数量以及数据的比对,节共有6个,此部分数据共240个,平均每个节头部信息占40个字节,下面就拿了40个字节的信息
可以看到节的名称.text 是2E 74 65 78 74;原始数据的起始地址104,就是04 01 00 00;重定向表190,就是90 01 00 00,其他成员就不列举了。其他头部也不列举了。
最终得到的结构是
| 文件头 | 节头部表 | 姐原始数据 | 重定向表 | 符号表 | 字符串表 |
| 0~13 | 14~103 | 104~18F | 190~1B7 | 1B8~2FB | 2FC~329 |
再细分一下的就是
| 文件头 | 0~13 |
| 节1头部 | 14~3B |
| 节2头部 | 3C~63 |
| 节3头部 | 64~8B |
| 节4头部 | 8C~B3 |
| 节5头部 | B4~DB |
| 节6头部 | DC~103 |
| 节1原始数据 | 104~127 |
| 节4原始数据 | 128~133 |
| 节5原始数据 | 134~157 |
| 节6原始数据 | 158~18F |
| 节1重定向表 | 190~1AD |
| 节6重定向表 | 1AE~1B7 |
| 符号表 | 1B8~2FB |
| 字符串表 | 2FC~329 |
