COFF 文件格式如下：

File Header(文件頭部)

Optional Header(可選文件頭部)

Section 1 Header(節頭部)

………

Section n Header(節頭部)

Raw Data for Section 1(節數據)

Raw Data for Section n(節數據)

Relocation Info for Sect. 1(節重定位數據)

Relocation Info for Sect. n(節重定位數據)

Line Numbers for Sect. 1(節行號數據)

Line Numbers for Sect. n(節行號數據)

Symbol table(符號表)

String table(字符串表)

　　文件頭部的數據結構：

struct filehdr

{

unsigned short f_magic; /* 魔數 */

unsigned short f_nscns; /* 節個數 */

long f_timdat; /* 文件建立時間 */

long f_symptr; /* 符號表相對文件的偏移量 */

long f_nsyms; /* 符號表條目個數 */

unsigned short f_opthdr; /* 可選頭部長度 */

unsigned short f_flags; /* 標志 */

};

　　COFF 文件頭部中魔數與其它兩種格式的意義不太一樣，它是表示針對的機器類型，例如 0x014c 相對于 I386 平臺，而 0x268 相對于 Motorola 68000系列等。當 COFF 文件為可執行文件時，字段 f_flags 的值為 F_EXEC（0X00002），同時也表示此文件沒有未解析的符號，換句話說，也就是重定位在連接時就已經完成。由此也可以看出，原始的 COFF 格式不支持動態連接。為了解決這個問題以及增加一些新的特性，一些操作系統對 COFF 格式進行了擴展。Microsoft 設計了名為 PE（Portable Executable）的文件格式，主要擴展是在 COFF 文件頭部之上增加了一些專用頭部，具體細節請參閱參考資料 18，某些 UNIX 系統也對 COFF 格式進行了擴展，如 XCOFF（extended common object file format）格式，支持動態連接，請參閱參考資料 5。

　　緊接文件頭部的是可選頭部，COFF 文件格式規范中規定可選頭部的長度可以為 0，但在 LINUX 系統下可選頭部是必須存在的。下面是 LINUX 下可選頭部的數據結構：

typedef struct

{

char magic[2]; /* 魔數 */

char vstamp[2]; /* 版本號 */

char tsize[4]; /* 文本段長度 */

char dsize[4]; /* 已初始化數據段長度 */

char bsize[4]; /* 未初始化數據段長度 */

char entry[4]; /* 程序進入點 */

char text_start[4]; /* 文本段基地址 */

char data_start[4]; /* 數據段基地址 */

}

COFF_AOUTHDR;

　　字段 magic 為 0413 時表示 COFF 文件是可執行的，注意到可選頭部中顯式定義了程序進入點，標準的 COFF 文件沒有明確的定義程序進入點的值，通常是從 .text 節開始執行，但這種設計并不好。

　　前面我們提到，COFF 格式比 a.out 格式多了一個節段表，一個節頭條目描述一個節數據的細節，因此 COFF 格式能包含更多的節，或者說可以根據實際需要，增加特定的節，具體表現在 COFF 格式本身的定義以及稍早提及的 COFF 格式擴展。我個人認為，節段表的出現可能是 COFF 格式相對 a.out 格式最大的進步。下面我們將簡單描述 COFF 文件中節的數據結構，因為節的意義更多體現在程序的編譯和連接上，所以本文不對其做更多的描述。此外，ELF 格式和 COFF格式對節的定義非常相似，在隨后的 ELF 格式分析中，我們將省略相關討論。

struct COFF_scnhdr

{

char s_name[8]; /* 節名稱 */

char s_paddr[4]; /* 物理地址 */

char s_vaddr[4]; /* 虛擬地址 */

char s_size[4]; /* 節長度 */

char s_scnptr[4]; /* 節數據相對文件的偏移量 */

char s_relptr[4]; /* 節重定位信息偏移量 */

char s_lnnoptr[4]; /* 節行信息偏移量 */

char s_nreloc[2]; /* 節重定位條目數 */

char s_nlnno[2]; /* 節行信息條目數 */

char s_flags[4]; /* 段標記 */

};

　　有一點需要注意：LINUX系統中頭文件coff.h中對字段s_paddr的注釋是"physical address"，但似乎應該理解為"節被加載到內存中所占用的空間長度"。字段s_flags標記該節的類型，如文本段、數據段、BSS段等。在 COFF的節中也出現了行信息，行信息描述了二進制代碼與源代碼的行號之間的對映關系，在調試時很有用。

ELF文件格式分析

　　ELF 文件有三種類型：可重定位文件：也就是通常稱的目標文件，后綴為.o。共享文件：也就是通常稱的庫文件，后綴為.so。可執行文件：本文主要討論的文件格式，總的來說，可執行文件的格式與上述兩種文件的格式之間的區別主要在于觀察的角度不同：一種稱為連接視圖（Linking View），一種稱為執行視圖（Execution View）。

　　首先看看ELF文件的總體布局：

ELF header(ELF頭部)

Program header table(程序頭表)

Segment1（段1）

Segment2（段2）

………

Sengmentn（段n）

Setion header table(節頭表，可選)