2

众所周知,Visual Studio 库 *.lib 文件是一个 Unix“ar”存档,其中包含 COFF 格式的对象模块。但我发现用于导入 DLL 的库是不是 COFF 对象的小块(或存根)的存档。一个例子是库 VS15\lib\ucrt\ucrt.lib。这些块包含函数的名称和对定义该函数的 DLL 库的引用。这是“puts”函数的存根示例(十六进制转储):

00-00-FF-FF-00-00-4C-01-39-E9-80-55-26-00-00-00 ......L.9..U&...
93-00-08-00-5F-70-75-74-73-00-61-70-69-2D-6D-73 “..._puts.api-ms
2D-77-69-6E-2D-63-72-74-2D-73-74-64-69-6F-2D-6C -win-crt-stdio-l
31-2D-31-2D-30-2E-64-6C-6C-00                   1-1-0.dll.

它绝对不是 COFF 对象(尽管它包含特定于 COFF 的 386 架构签名 0x14C)。我找不到有关这些导入对象格式的任何文档。有人知道这种格式吗?

可能是非官方规格?

可能是一些可以处理这种格式的源代码?

4

1 回答 1

1

这就是所谓的微软“短导入”对象。基本上,它由 20 字节的标头(与常规 COFF 标头大小相同)组成,后跟两个以零结尾的字符串:分别是导入符号名称和 DLL 名称。

“短导入”标头在前四个签名字节中与常规 COFF 标头不同:(0x00 0x00 0xFF 0xFF没有常规 COFF 可以以此开头,因为它会读作“未知机器,65535 个部分”,这是胡说八道)。

“短导入”标头的格式在此处完整描述:MSDN PE 格式

所以在上面的例子中,我们有:

0x00 0x00 0xFF 0xFF --> “短导入”签名
0x00 0x00 --> 版本 0(未使用)
0x4C 0x01 --> 机器 I386
0x39 0xE9 0x80 0x55 --> 时间/日期戳(2015 年 6 月 17 日,6:27:53 UTC)
0x26 0x00 0x00 0x00 --> 标头后面的字符串大小(38 字节)
0x93 0x00 --> 序数/提示 (147)
0x08 0x00 --> 位字段(“代码”,按“名称”导入)

于 2018-03-09T08:50:59.920 回答