根据函数地址表遍历函数名称RVA表,和上面的图是逆过程
//函数地址表 和当前内存中的位置
DWORD AddressOfFunctionsFOA = RVAToFOA(LPdosHeader, LPexprotDir->AddressOfFunctions);
PDWORD LPFunctionsAddressInMemary = (PDWORD)((char*)LPdosHeader + AddressOfFunctionsFOA);
//名称序号表的FOA 和在当前内存的位置
DWORD AddressOfNameOrdinalsFOA = RVAToFOA(LPdosHeader, LPexprotDir->AddressOfNameOrdinals);
PWORD WPNameOrdinalsInMemary = (PWORD)((char*)LPdosHeader + AddressOfNameOrdinalsFOA);
//名称字符串RVA表和在当前内存的位置
DWORD AddressOfNamesFOA = RVAToFOA(LPdosHeader, LPexprotDir->AddressOfNames);
PDWORD LPNamesAddressInMemary= (PDWORD)((char*)LPdosHeader + AddressOfNamesFOA);
//遍历函数地址表 ,
for (size_t i = 0; i < LPexprotDir->NumberOfFunctions; i++)
{
printf("[%d]",i);
/*-----------------------------------------------
使用.def文件导出函数时,如果序号之间有空位比如
EXPORTS
add @2
sub @3 NONAME
mul @7
div1 @8
那么在函数地址表中就会有 0地址填充
-------------------------------------------------*/
if (*LPFunctionsAddressInMemary == 0)
{
printf("0x%x\n", *LPFunctionsAddressInMemary);
continue;
}
printf("\t\t\t0x%x", *LPFunctionsAddressInMemary);
//遍历名称序号表
/*-----------------------------------------------
* 如果函数地址表的索引 和 名称序号表中的值相同,说明这个函数
* 是以名称导出的
-------------------------------------------------*/
for (size_t j = 0; j< LPexprotDir->NumberOfNames; j++)
{
if (*WPNameOrdinalsInMemary == i)//如果 函数地址表的索引 == 名称序号表中保存的值,说明这个函数是以 名称导出的
{
printf("\t\t\t\t%d", *WPNameOrdinalsInMemary);
//输出函数的名称
/*------------------------------------------------ -
* 名称序号表的 索引 就对于 函数名称RVA表 的索引
* 这样就可以去找函数名了
------------------------------------------------ - */
char* str = (char*)LPdosHeader + RVAToFOA(LPdosHeader, LPNamesAddressInMemary[j]);
printf("\t\t\t%s\t\t\t%d\n", str, LPexprotDir->Base+ *WPNameOrdinalsInMemary);
}
WPNameOrdinalsInMemary++;
}
WPNameOrdinalsInMemary = (PWORD)((char*)LPdosHeader + AddressOfNameOrdinalsFOA);
LPFunctionsAddressInMemary++;
}
