如何使用 MinGW 创建微型 PE (Win32) 可执行文件

Question

我有以下 C 程序：

#include <windows.h>
void __cdecl mainCRTStartup() {
  DWORD bw;
  HANDLE hfile = GetStdHandle(STD_OUTPUT_HANDLE);
  WriteFile(hfile, "Hello, World!\r\n", 15, &bw, 0);
  ExitProcess(0);  /* Needed for successful (0) exit. */
}

我使用 GCC 4.8.2 编译它，使用以下命令行：

i686-w64-mingw32-gcc -s -Os -fno-ident -fno-stack-protector -fomit-frame-pointer \
-fno-unwind-tables -fno-asynchronous-unwind-tables -falign-functions=1  \
-mpreferred-stack-boundary=2 -falign-jumps=1 -falign-loops=1 -mconsole \
-nostdlib -nodefaultlibs -nostartfiles -o h.exe h.c -lkernel32

生成的 .exe 文件长 2048 字节。 如何使用 MinGW 使其更小，最好最多 1024 个字节，或者（甚至更好）最多 512 个字节？

我更喜欢不编写汇编代码的解决方案，但我也对汇编解决方案感兴趣。

我试过-Wl,-N来减少节（段）的数量，但这会导致在 Wine 中运行 .exe 时出现段错误。

本文建议 480 字节是可能的。 它使用以下设置：

#pragma comment(linker, "/FILEALIGN:16")
#pragma comment(linker, "/ALIGN:16")// Merge sections
#pragma comment(linker, "/MERGE:.rdata=.data")
#pragma comment(linker, "/MERGE:.text=.data")
#pragma comment(linker, "/MERGE:.reloc=.data")
#pragma optimize("gsy", on)

不幸的是，这些#pragma不适用于 MinGW GCC。 有等价物吗？

在这里，我能够找到 GCC 标志-Wl,--section-alignment,16,--file-alignment,16将 .exe 大小降低到 752 字节。 .exe 似乎在 Wine 中工作。

通过修改链接器脚本，我能够合并.data和.rdata ，并减少到 736 字节。 除了上述那些之外，我还使用这些 GCC 标志： -Wl,--section-alignment,16,--file-alignment,16,-T,tinygccpe.scr 。

我仍在寻找等效于/MERGE的 MinGW 。

这个问题很相似，但它不会尝试低于 9000 字节。

我也在寻找一个strip工具（MinGW 中的strip命令不会进一步减小 .exe 的大小），它可以删除 DOS 存根（位于偏移量 0x40 和 0x80 之间，它包含This program cannot be run in DOS mode. ，我们可以节省 64 个字节）。 此代码可以删除它，但它也会破坏 .exe 中的所有绝对偏移量。 不幸的是，MinGW 中的链接器ld无法删除 DOS 存根，它被硬编码在文件bfd/peXXigen.c ，就在NT_SIGNATURE 。

是否可以从 .exe 中删除更多的头文件，即加载程序不使用的头文件？

Answer 1

这个问题有大量的在线文献，大约从 1995 年开始。

32 位和 64 位 Windows 的每个版本都有一套不同的规则，用于说明它们在 PE .exe 可执行文件中接受哪些标头值。 例如，Windows 7 接受具有 0 节、节对齐 4、文件对齐 4 的 .exe 文件，而其他版本的 Windows（例如 Windows XP 和 2020 年的最新 Windows 10）拒绝这些文件。

不过，可以创建小于 2048 字节的有效 .exe 文件。 例子：

• hh6d.golden.exe （584 字节）是可移植的：它适用于 Microsoft 发布的所有 Win32 实现，也适用于 Wine。 （在 Windows NT 3.1、Windows 95、Windows XP 和 Windows 10、Wine 1.6.2、Wine 5.0 上测试。）
• hh2d.golden.exe （408 字节）适用于 Windows 95 及更高版本。 （在 Windows 95、Windows XP、Windows 7 和 Windows 10 上测试）。
• hh1.golden.exe （268 字节）不适用于 Windows XP，适用于 Windows 7，不适用于 Windows 10。
• pts-tinype 存储库中包含的汇编源代码。

这就是为什么不太可能发布小于 584 字节的便携式 Win32 PE .exe hello-world 的原因：

• 程序代码必须放在一个可执行的节中，并且最早的文件字节偏移量是512，因为SectionAlignment 必须至少为512，并且节不能从文件的开头开始。
• 最小 hello-world 打印机 i386 Win32 机器代码大小为 36 字节。 （这不包括消息大小，因为消息可以存储在头中的前 512 个字节内。）
• 对于 KERNEL32.DLL，IMAGE_IMPORT_DESCRIPTORS 的最小大小为 20 字节。 Windows 95 不允许在头文件中这样做，所以它必须放在文件字节偏移 512 之后。
• IAT（导入地址表）的最小大小为 16 字节：GetStdHandle 4 字节，WriteFile 4 字节，ExitProcess 4 字节，列表结尾 4 字节。 由于加载器修改了这些地址，所以不能放到header（只读）中，所以必须放到文件字节偏移512之后。
• 如果我们把这些加起来，我们得到 512 + 36 + 20 + 16 = 584 个字节。

小于 268 字节的 .exe 文件仅适用于早于 Windows XP 的 Windows 版本，它们不适用于 64 位 Windows 系统。

相关文献：

• https://www.codejuggle.dj/creating-the-smallest-possible-windows-executable-using-assembly-language/
• http://pferrie.host22.com/misc/tiny/pehdr.htm
• https://drakopensulo.wordpress.com/2017/08/06/smallest-pe-executable-x64-with-every-byte-executed/
• http://www.phreedom.org/research/tinype/
• http://www.pouet.net/topic.php?which=9565
• http://www.crinkler.net/
• https://code.google.com/archive/p/corkami/wikis/PE.wiki