Unix中可执行程序能不能在Windows中运行？为什么？

不能。

1、可执行的二进制文件包含了机器指令、数据资源、程序运行资源，可执行文件执行之前， *** 作系统要做一些准备工作，根据不同的 *** 作系统，准备工作是不同的。因此，可执行文件的格式是不相同的，Windows下可执行文件格式为PE格式，linux下可执行文件为elf格式。所以，文件格式的不同导致了可执行文件是不可以直接跨平台使用。

2、由于不同的 *** 作系统API不同，而一个可执行文件要执行时都需要 *** 作系统的交互才能完成，而不同的 *** 作系统交互 *** 作的方法不同，因此，不同 *** 作系统下的可执行文件不能直接在对方那里直接运行。

扩展资料

UNIX/LINUX 平台下三种主要的可执行文件格式：a.out（assembler and link editor output 汇编器和链接编辑器的输出）、COFF（Common Object File Format 通用对象文件格式）、ELF（Executable and Linking Format 可执行和链接格式）。

相对可执行文件有三个重要的概念：编译（compile）、连接（link，也可称为链接、联接）、加载（load）。源程序文件被编译成目标文件，多个目标文件被连接成一个最终的可执行文件，可执行文件被加载到内存中运行。

我们采用完全符合PKCS[8]系列标准的签名验证算法，并兼容所有符合X509格式的证书，以RSA[6][7]非对称密钥体制为基础来完成对ELF文件代码的签名验证。

为了便于描述，我们引入以下几个基本概念1.完全摘要值--指对ELF文件的所有数据以及签名相关数据计算出来的摘要值；2.不完全摘要值--指对ELF文件的一部分重要数据（主要是ELF文件头）以及签名相关数。

对ELF文件的签名是通过签名工具完成的，与 *** 作系统核心无关，同时也和平台无关。签名过程完全遵循第二节中所描述的标准和原理。

为了增加反编译难度，保护应用安全，现在越来越多的应用把一些重要的逻辑，加密，重要信息用so库存储。如果想反编译so，那么我们就需要了解so文件格式。这样有助于帮助我分析so文件内容和加固so，防止自己的so被别人轻易破解。

so文件使用的是elf格式来存在信息，所以，我们需要了解elf文件格式。这样就可以读取到我们需要的数据。

这篇文章不会把基本的东西讲太多，网上关于so文件格式也有讲解，本文会把自己分析过程遇到的问题，网上查不到，或者你们在学习过程可能会产生的疑问一一列举出来。

对于基础的东西请自己百度或者看下面给出的ELF文件格式文档。

ELF文件由4部分组成，分别是ELF头（ELF header）、程序头表（Program header table）、节（Section）和节头表（Section header table）。实际上，一个文件中不一定包含全部内容，而且它们的位置也未必如同所示这样安排，只有ELF头的位置是固定的，其余各部分的位置、大小等信息由ELF头中的各项值来决定。

在Linux用该命令可以直接查看so相关信息，mac可以百度，查看替代方案。

so文件二进制数据图

接下来就以ELF头来做分析

看一下ELF头在elf.h中的定义，如果没有源码，可以参考上面的ELF文件格式文档。

e_ident[EI_NIDENT]这16个字节代表数据如下：

EI_NIDENT ：e_ident数组的大小。

剩余字节，可对照数据结构查看，我们用命令看一下ELF头信息

从ELF信息里面可以拿到：

通过e_phoff和e_phnum，e_phentsize可以找到程序头部表的在文件中的起始地址和个数以及单个程序头部表的大小。

同理，可以找到节点表的起始地址和个数以及单个表的大小。

010editor工具左边显示了二进制文件的地址，很方便查看。

通过命令看看具体数据

第一列就是Section表索引，还记得上面的e_shstrndx字段吧，它表示节区字符串表在节区头部表格中索引。由上面的数据图可以看出e_shstrndx是0x25，即37，对于图中的.shstrtab这个正是节区字符串表的名字，具体这些名字代表什么，请查看文档。

从二进制数据看到只是一个数字，并不是像.shstrtab的字符串，那么又是怎么回事呢？

在Section表数据结构中的一个字段是：sh_name 表示节区名称,表示在节区字符串表中的索引，即信息很可能存储在.shstrtab这个字符串表中。根据上面图中的Off得到起始地址。

Section表数据结构索引为1的sh_name值为3A,即58。而节区字符串表的起始地址是E9F4a，即图中为红色00的位置，然后从这个位置往后数58个字节，刚好是图中蓝色部分的数据，是不是Section节区表格中的第二行的名字（图中少了nt字符，我怀疑是长度过长，没有显示出来，经验证短一点的，完全一只）。

知道了sh_name起始地址，那怎么知道到哪里结束呢，sh_name必须以空字符结束，从起始地址一直找到为空字符的地方即可。

更多请参考文档： 链接: https://pan.baidu.com/s/1GgUqFF1dJ9sbCoSU3XzElw

   密码:zmac

参考： https://www.cnblogs.com/1024Planet/p/6272620.html

---