链接学习之obj文件探索

Windows的gcc环境，往官网http://sourceforge.net/project/showfiles.php?group_id=2435 下载MinGW，安装，安装完毕后按照包

配置环境变量

a.在PATH的值中加入"C:\Program Files\MinGWStudio\MinGW\bin"。这是寻找gcc编译器的路径。如果PATH中还有其他内容，需要用英文状态下分号进行分割

b.新建LIBRARY_PATH变量，在其值中加入"C:\Program Files\MinGWStudio\MinGW\lib"。这是标准库存放的路径。

c.新建C_INCLUDE_PATH变量，在其值中加入"C:\Program Files\MinGWStudio\MinGW\include"。这是Include查找头文件的路径。

先是一个及其简单的C程序

Hello.c

预处理

C:\Users\居士\Desktop\Update\Link C>gcc -E hello.c -o hello.i

i文件局部

如上图#后面的数字 210代表行号 stdio.h中能找到对应代码

编译

C:\Users\居士\Desktop\Update\Link C>gcc -S hello.i -o hello.s

编译后的 内容仍然是文本，打开s文件仍然可以看懂其内容

学过汇编的人能看懂里面表达啥，对于我而言只认得pushl,movl,andl等几个指令，以及%ebp,%esp这几个寄存器，还有常数$-16,$0。其余cif_offset这些就需要百度才知道了。总体来说还是看不懂的。

汇编

C:\Users\居士\Desktop\Update\Link C>gcc -c hello.s -o hello.o

汇编得到的是一个二进制的文件，是一个可重定向目标文件，里面包含着机体代码。这里虽然表面上是一个o文件，由于本人使用的是Windows平台，编译出来的还是类似于通过VC编译出来的obj格式的文件，而并非Linux平台下的ELF文件。

在网上找的命令可以通过下面命令看到格式化后的o文件

C:\Users\居士\Desktop\Update\Link C>readelf -a hello.o

但是在windows下生成的实际上是obj文件，用VS的另一个工具可以打开，该工具在以下目录

D:\Program Files (x86)\Microsoft Visual Studio 12.0\VC\bin\dumpbin.exe

命令为dumpbin /all {目标文件文件名} > {输出文件的文件名}

因此之前看书上面说的ELF文件的格式就对不上了，文件的结构需要找别的资料去参考。这里借助了dumpbin以外还使用了CFF Explorer。

obj文件内容分析

在网上看过别人分析的obj文件是用在VC下写的一段很简单的C++代码生成的，和我这个用MinGW的gcc下的C程序有出入。

总的来说无论是obj还是o文件，都是基于COFF（Common Object File Format）文件，它与我们平常写的代码不一样，它是有一个一定格式的文件，链接器（或加载器）则按照这个结构来链接（或执行）这些文件，先罗列一下整个obj文件的结构

File Header 文件头

Optional Header

Section Header Table 节头部表

Section Raw Data 节的原始数据

Relocation Table 重定向表

Symbol Table 符号表

String Table 字符串表

再看通过dumpbin生成的文件

FILE HEADER:文件头

这个文件头在obj文件中占了0~13共14个字节。

这个文件头的大小是固定的，它实际上是winnt.h里面的一个结构体。细心的可以发现结构中一些值是直接以数值的形式存放在文件中，例如machine的值14C，存放为4C 01，符号表的地址指针1B8，存放成B8 01。我想表达的是因为windows是采用了小段法存放数据的机器，高低位间作了互换。Winnt.h文件在C:\Program Files (x86)\Microsoft SDKs\Windows\v7.0A\Include目录中（我的是64位系统）。结构体定义如下

各个字段的解析可以参考MSDN上的内容

结构体解析 https://msdn.microsoft.com/zh-cn/library/windows/desktop/ms680313(v=vs.85).aspx

大体就是说了编译时机器的情况，时间，还有与本文件关系大的符号表的位置，符号的数量，optional header的数量。

接下来就是各个节的说明了，先已第一个节作为例子，介绍完这个节的结构后再通过CFF Explorer对比o文件里的内容。再去介绍各个节的作用。

这里包含了节的头部，节的原始数据，还有一个重定向表，节的头部是这样的一个结构

头部的作用是描述整个节的信息，例如SizeOfRawData代表原始数据的数量，PointerToRawData即是原始数据起始的地址。NumberOfRelocations是重定向条目的数量。

节头部数据结构详情可参考MSDN中的以下位置 https://msdn.microsoft.com/en-us/library/windows/desktop/ms680341(v=vs.85).aspx

Raw Data则是节的原始数据，这里其实没啥结构的，不同的节就存放他们对应的数据。

Relocations是重定位信息，实际上它是重定位表的一部分，只属于这个节的一部分。这个重定向的一个条目结构如下，

这个就是在链接时给引用外部的符号重定位时用的

以上仅是该o文件中最全的一个节的结构，当然还有可能会有其他的"节成员"，只是当前这个C程序太简单，以致其他成员未出现。但是不是每个节都有原始数据，有些节是空的，有些节就不带重定向信息。

下面逐个看这个o文件里面的每个节。

第一个节是.text节，图不再截了，就之前的那个图，.text节存放的是已编译的机器代码。利用objdump工具可以看到这节的原始数据（也就是机器代码整理后的结果），命令如下

要看懂这些指令的话，还需要懂得处理器的指令集（参考《深入了解计算机系统》的第四章）。

第二节是是data节，按书上的介绍data节是存放已初始化的全局或静态C变量，这个C程序中没有用到全局变量或静态变量，这节就没有内容

第三节是bss节，是存放未初始化的全局或静态C变量，以及被初始化为0的全局或C变量，但是这个姐实际不占用控件

第四个节是rdata节，放的就是只读数据，这里存在了一个宏定义，"hello c!"这样的一个字符串，这部分数据就存放在这一节中

第五个节叫"/4"，rdata$zzz估计是别名，不知具体的作用，貌似是存放了编译器的信息，版本之类的

第六个节叫"/15"，eh_frame，更加不知道他的作用，貌似是有对.text节的引用，难道是调用main函数外层的东西？

节部分完结了之后就是符号表

符号表的介绍直接引用MSDN的内容

对于以符号号码开头的行，下列说明描述了含有与用户相关的信息的列：

• 开头的 3 位数字是符号索引/号码。
• 如果第三列包含 SECTx，则符号在对象文件的那一节中定义。 但如果出现 UNDEF，则它不在那个对象中定义并且必须在其他地方被解析。
• 第五列 (Static, External) 说明符号是否只在那个对象的内部可见，或者是否是公共的（外部可见）。 静态符号 _sym 不会链接到公共符号 _sym；这些符号是名为 _sym 的函数的两种不同实例。

编号行中的最后一列是符号名（修饰名和未修饰名）

来自 <https://msdn.microsoft.com/zh-cn/library/b842y285.aspx>

每条符号表的记录是一下的结构

有几条记录是多出了一行的，那部分数据是对这个符号的补充说明，结构如下

在符号表之后就是字符串表了，但是在dumpbin生成d文件中只是列举了字符串表的大小

但在其他资料中介绍，字符串表示存放着节名的字符串。听过CFF Explorer中的内容查看，确实定义了4个字符川，就是重复的.rdata$zzz和.eh_frame

dumpbin如何分析得出这个o文件

那又有一个问题来了，编译系统是如何根据这份二进制的o文件来读取到这些信息呢，尝试一下通过CFF Explorer来分析读取到这个文件的信息，人为模拟一下dumpbin的工作。这个过程推导出前面那个obj文件结构这个结论。

首先是读取固定大小的文件头，通过文件头的结构获取到几个与本个o文件有关的信息：

• 有6个节
• 符号表的起始位置是1B8,符号数量是12个

  那么就相当于把o文件已经分成了几块

文件头	未知部分1	符号表	未知部分2
0~13	14~1B7	1B8~??	??~329

那么节这部分有可能存放在未知部分1中。查看各个节的头部信息，分析出节1到节6是从104~18F。可以查看各个节的原始数据得出

其他节就不一一列举了

另外还有各个节头部信息中提及到的重定位信息，整个文件有中重定位信息只有两个节：节1的重定位是190开始；节6的重定位信息是1AE开始，节1的重定位项有3个，节6的重定位项有1个，粗略推断节1的重定位信息是重190~1AD，节6的重定位信息是1AE~1B7,每条重定位信息的长度大概是10个字节

如

是对应

0A 00估计对应Offset,10 00对应Symbol Index，14 00对应Type,可视Applied To这个就解析不清了，因为节6的重定位信息如下

还有字符串表的信息，字符串的大小是一个4字节用小端法存储的无符号整数，2E应该是2E 00 00 00，纵观整个文件存放了这个信息的就在位置为2FC处，因此估计字符串表是从2FC处到329结尾处了

文件头	未知部分1	节原始数据	重定向表	符号表	字符串表
0~13	14~103	104~18F	190~1B7	1B8~2FB	2FC~329

剩余的未知部分1应该就是存放节头部信息的节头部表，从14~103，也是通过数量以及数据的比对，节共有6个，此部分数据共240个，平均每个节头部信息占40个字节，下面就拿了40个字节的信息

可以看到节的名称.text 是2E 74 65 78 74；原始数据的起始地址104，就是04 01 00 00；重定向表190，就是90 01 00 00，其他成员就不列举了。其他头部也不列举了。

最终得到的结构是

文件头	节头部表	姐原始数据	重定向表	符号表	字符串表
0~13	14~103	104~18F	190~1B7	1B8~2FB	2FC~329

再细分一下的就是

文件头	0~13
节1头部	14~3B
节2头部	3C~63
节3头部	64~8B
节4头部	8C~B3
节5头部	B4~DB
节6头部	DC~103
节1原始数据	104~127
节4原始数据	128~133
节5原始数据	134~157
节6原始数据	158~18F
节1重定向表	190~1AD
节6重定向表	1AE~1B7
符号表	1B8~2FB
字符串表	2FC~329