PE导出表笔记

导出表结构:

1. typedef struct _IMAGE_EXPORT_DIRECTORY {  
2.   +0x00  DWORD   Characteristics;//未使用，总是定义为0  
3.   +0x04  DWORD   TimeDateStamp;//文件生成时间  
4.   +0x08  WORD    MajorVersion;//未使用，总是定义为0  
5.   +0x0A  WORD    MinorVersion;//未使用，总是定义为0  
6.   +0x0C  DWORD   Name;//导出表当前所在文件的文件名RVA
7.   +0x10  DWORD   Base;//基数，加上序数就是函数地址数组的索引值  
8.   +0x14  DWORD   NumberOfFunctions;//导出函数的总数  
9.   +0x18  DWORD   NumberOfNames;//以名称方式导出的函数的总数  
10.   +0x1c  DWORD   AddressOfFunctions;     // RVA from base of image指向输出函数地址的RVA  
11.   +0x20  DWORD   AddressOfNames;         // RVA from base of image指向输出函数名字的RVA  
12.   +0x24  DWORD   AddressOfNameOrdinals;  // 一一对应AddressOfNames  RVA from base of image向输出函数序号的RVA  
13. } IMAGE_EXPORT_DIRECTORY, *PIMAGE_EXPORT_DIRECTORY;</span> 

1:导出表位于PE数据目录表项的第一个结构

2:导出表FOA和RVA: 

    FOA==[3C]+78h

    RVA==[[3c]+78h]

3:获取导出表函数地址: