PE文件头文件――数据目录表
导出目录位于数据目录表的起始位置
指向的地址指向导入表
1、函数名称字符串所在地址的RVA值
2、导出函数名对应的导出序号
3、导出序号对应的导出函数地址RVA值
解析导出表步骤:
1、找到导出目录,通过导出目录定位到导出表的文件偏移。
2、查看导出表结构第七个成员(NumberOfFunctions),得到导出地址表中导出函数地址的个数
3、查看导出表结构的第九个成员(AddressOfFunctions),得到导出地址表的RVA,将其转换成文件偏移。
4、查看导出表结构的第八个成员(NumberOfNames),得到该导出表中由函数名导出函数的个数,即导出序号表中成员的个数。
5、查看第十一个成员(AddressOfNameOriginals),得到导出序列号,
6、第十个成员(addressOfNames),得到导出表中导出函数名称字符串所在地址的函数名称地址表。
7、查看导出函数地址表的成员。
文章来源: https://blog.csdn.net/dyxcome/article/details/91357976