http://msdn.microsoft.com/en-US/
搜索
specification
搜索“PE COFF specification”,得到一篇Microsoft官方的PE格式文档:
http://download.microsoft.com/download/9/c/5/9c5b2167-8017-4bae-9fde-d599bac8184a/pecoff_v83.docx
这是我读过的讲解最清晰的关于PE格式的文档。
1. export、import与符号链接
关于dll的好处,这里不再详述,总之,dll机制带来了空间与时间上的效率提升。
dll是一种shared library机制,是一个封装“代码、数据和资源”的模块,现在几乎没有不依赖于dll的应用程序了。
当一个可执行文件(exe)被用来创建一个进程时,该exe文件会被Windows操作系统的组件“加载器”加载到进程的内存地址空间中;如果应用程序引用到了其他dll模块中的符号(函数或者变量),就需要将这些dll也加载到进程的地址空间中,由于ASLR等等客观原因影响,exe中引用外部符号的代码块无法提前预知dll中的某个符号被加载到内存地址空间的什么位置上,因此它需要一种提示机制来指导加载器在加载的过程中解析引用符号的真正地址。
这种机制可以被称为是“符号链接”,或者说是“加载时的符号链接”,它依赖于exe中的import table以及dll中的export table给出的提示信息。
import table提供以下信息:
[dll name] + [symbol ordinal that index into dll's export table entry][dll name] + [symbol name]
而export table则提供symbol name到symbol ordinal的映射关系,然后以symbol ordinal作为index到export table中找到符号的真正地址(dll被加载到内存地址空间后,符号的内存地址)
import table的布局:
Import Directory Table * 1
Import Lookup Table * N
Hint/Name Table * 1