PE结构之导出表

 根据函数地址表遍历函数名称RVA表,和上面的图是逆过程

//函数地址表 和当前内存中的位置DWORD AddressOfFunctionsFOA = RVAToFOA(LPdosHeader, LPexprotDir->AddressOfFunctions);PDWORD LPFunctionsAddressInMemary = (PDWORD)((char*)LPdosHeader + AddressOfFunctionsFOA);//名称序号表的FOA 和在当前内存的位置DWORD AddressOfNameOrdinalsFOA = RVAToFOA(LPdosHeader, LPexprotDir->AddressOfNameOrdinals);PWORD WPNameOrdinalsInMemary = (PWORD)((char*)LPdosHeader + AddressOfNameOrdinalsFOA);//名称字符串RVA表和在当前内存的位置DWORD AddressOfNamesFOA = RVAToFOA(LPdosHeader, LPexprotDir->AddressOfNames);PDWORD LPNamesAddressInMemary= (PDWORD)((char*)LPdosHeader + AddressOfNamesFOA);//遍历函数地址表 ,for (size_t i = 0; i < LPexprotDir->NumberOfFunctions; i++){printf("[%d]",i);/*-----------------------------------------------使用.def文件导出函数时,如果序号之间有空位比如EXPORTSadd    @2sub    @3 NONAMEmul    @7div1    @8那么在函数地址表中就会有 0地址填充-------------------------------------------------*/if (*LPFunctionsAddressInMemary == 0){printf("0x%x\n", *LPFunctionsAddressInMemary);continue;}printf("\t\t\t0x%x", *LPFunctionsAddressInMemary);//遍历名称序号表/*-----------------------------------------------* 如果函数地址表的索引 和 名称序号表中的值相同,说明这个函数* 是以名称导出的-------------------------------------------------*/for (size_t j = 0; j< LPexprotDir->NumberOfNames; j++){if (*WPNameOrdinalsInMemary == i)//如果 函数地址表的索引 == 名称序号表中保存的值,说明这个函数是以 名称导出的{printf("\t\t\t\t%d", *WPNameOrdinalsInMemary);//输出函数的名称/*------------------------------------------------ -* 名称序号表的 索引 就对于 函数名称RVA表 的索引* 这样就可以去找函数名了------------------------------------------------ - */char* str = (char*)LPdosHeader + RVAToFOA(LPdosHeader, LPNamesAddressInMemary[j]);printf("\t\t\t%s\t\t\t%d\n", str, LPexprotDir->Base+ *WPNameOrdinalsInMemary);}WPNameOrdinalsInMemary++;}WPNameOrdinalsInMemary = (PWORD)((char*)LPdosHeader + AddressOfNameOrdinalsFOA);LPFunctionsAddressInMemary++;}