PE文件-导出表[EXPORT TABLE]--转自iczelion,附vc示范和图例

首先我贴上导出表结构图例：

理论:

当PE装载器执行一个程序，它将相关DLLs都装入该进程的地址空间。然后根据主程序的引入函数信息，查找相关DLLs中的真实函数地址来修正主程序。PE装载器搜寻的是DLLs中的引出函数。

DLL/EXE要引出一个函数给其他DLL/EXE使用，有两种实现方法: 通过函数名引出或者仅仅通过序数引出。比如某个DLL要引出名为"GetSysConfig"的函数，如果它以函数名引出，那么其他DLLs/EXEs若要调用这个函数，必须通过函数名，就是GetSysConfig。另外一个办法就是通过序数引出。什么是序数呢？ 序数是唯一指定DLL中某个函数的16位数字，在所指向的DLL里是独一无二的。例如在上例中，DLL可以选择通过序数引出，假设是16，那么其他DLLs/EXEs若要调用这个函数必须以该值作为GetProcAddress调用参数。这就是所谓的仅仅靠序数引出。

我们不提倡仅仅通过序数引出函数这种方法，这会带来DLL维护上的问题。一旦DLL升级/修改，程序员无法改变函数的序数，否则调用该DLL的其他程序都将无法工作。

现在我们开始学习引出结构。象引出表一样，可以通过数据目录找到引出表的位置。这儿，引出表是数据目录的第一个成员，又可称为IMAGE_EXPORT_DIRECTORY。该结构中共有11 个成员，常用的列于下表。

Field Name	Meaning
nName	模块的真实名称。本域是必须的，因为文件名可能会改变。这种情况下，PE装载器将使用这个内部名字。
nBase	基数，加上序数就是函数地址数组的索引值了。
NumberOfFunctions	模块引出的函数/符号总数。
NumberOfNames	通过名字引出的函数/符号数目。该值不是模块引出的函数/符号总数，这是由上面的NumberOfFunctions给出。本域可以为0，表示模块可能仅仅通过序数引出。如果模块根本不引出任何函数/符号，那么数据目录中引出表的RVA为0。
AddressOfFunctions	模块中有一个指向所有函数/符号的RVAs数组，本域就是指向该RVAs数组的RVA。简言之，模块中所有函数的RVAs都保存在一个数组里，本域就指向这个数组的首地址。
AddressOfNames	类似上个域，模块中有一个指向所有函数名的RVAs数组，本域就是指向该RVAs数组的RVA。
AddressOfNameOrdinals	RVA，指向包含上述 AddressOfNames数组中相关函数之序数的16位数组。

上面也许无法让您完全理解引出表，下面的简述将助您一臂之力。

引出表的设计是为了方便PE装载器工作。首先，模块必须保存所有引出函数的地址以供PE装载器查询。模块将这些信息保存在AddressOfFunctions域指向的数组中，而数组元素数目存放在NumberOfFunctions域中。 因此，如果模块引出40个函数，则AddressOfFunctions指向的数组必定有40个元素，而NumberOfFunctions值为40。现在如果有一些函数是通过名字引出的，那么模块必定也在文件中保留了这些信息。这些 名字的RVAs存放在一数组中以供PE装载器查询。该数组由AddressOfNames指向，NumberOfNames包含名字数目。考虑一下PE装载器的工作机制，它知道函数名，并想以此获取这些函数的地址。至今为止，模块已有两个模块: 名字数组和地址数组，但两者之间还没有联系的纽带。因此我们还需要一些联系函数名及其地址的东东。PE参考指出使用到地址数组的索引作为联接，因此PE装载器在名字数组中找到匹配名字的同时，它也获取了 指向地址表中对应元素的索引。 而这些索引保存在由AddressOfNameOrdinals域指向的另一个数组(最后一个)中。由于该数组是起了联系名字和地址的作用，所以其元素数目必定和名字数组相同，比如，每个名字有且仅有一个相关地址，反过来则不一定: 每个地址可以有好几个名字来对应。因此我们给同一个地址取"别名"。为了起到连接作用，名字数组和索引数组必须并行地成对使用，譬如，索引数组的第一个元素必定含有第一个名字的索引，以此类推。

AddressOfNames		AddressOfNameOrdinals
|		|
RVA of Name 1 RVA of Name 2 RVA of Name 3 RVA of Name 4 ... RVA of Name N	<--> <--> <--> <--> ... <-->	Index of Name 1 Index of Name 2 Index of Name 3 Index of Name 4 ... Index of Name N

下面举一两个例子说明问题。如果我们有了引出函数名并想以此获取地址，可以这么做:

1. 定位到PE header。
2. 从数据目录读取引出表的虚拟地址。
3. 定位引出表获取名字数目(NumberOfNames)。
4. 并行遍历AddressOfNames和AddressOfNameOrdinals指向的数组匹配名字。如果在AddressOfNames 指向的数组中找到匹配名字，从AddressOfNameOrdinals 指向的数组中提取索引值。例如，若发现匹配名字的RVA存放在AddressOfNames 数组的第77个元素，那就提取AddressOfNameOrdinals数组的第77个元素作为索引值。如果遍历完NumberOfNames 个元素，说明当前模块没有所要的名字。
5. 从AddressOfNameOrdinals 数组提取的数值作为AddressOfFunctions 数组的索引。也就是说，如果值是5，就必须读取AddressOfFunctions 数组的第5个元素，此值就是所要函数的RVA。

现在我们在把注意力转向IMAGE_EXPORT_DIRECTORY 结构的nBase成员。您已经知道AddressOfFunctions 数组包含了模块中所有引出符号的地址。当PE装载器索引该数组查询函数地址时，让我们设想这样一种情况，如果程序员在.def文件中设定起始序数号为200，这意味着AddressOfFunctions 数组至少有200个元素，甚至这前面200个元素并没使用，但它们必须存在，因为PE装载器这样才能索引到正确的地址。这种方法很不好，所以又设计了nBase 域解决这个问题。如果程序员指定起始序数号为200，nBase 值也就是200。当PE装载器读取nBase域时，它知道开始200个元素并不存在，这样减掉一个nBase值后就可以正确地索引AddressOfFunctions 数组了。有了nBase，就节约了200个空元素。

注意nBase并不影响AddressOfNameOrdinals数组的值。尽管取名"AddressOfNameOrdinals"，该数组实际包含的是指向AddressOfFunctions 数组的索引，而不是什么序数啦。

讨论完nBase的作用，我们继续下一个例子。
假设我们只有函数的序数，那么怎样获取函数地址呢，可以这么做:

1. 定位到PE header。
2. 从数据目录读取引出表的虚拟地址。
3. 定位引出表获取nBase值。
4. 减掉nBase值得到指向AddressOfFunctions 数组的索引。
5. 将该值与NumberOfFunctions作比较，大于等于后者则序数无效。
6. 通过上面的索引就可以获取AddressOfFunctions 数组中的RVA了。

可以看出，从序数获取函数地址比函数名快捷容易。不需要遍历AddressOfNames 和 AddressOfNameOrdinals 这两个数组。然而，综合性能必须与模块维护的简易程度作一平衡。

总之，如果想通过名字获取函数地址，需要遍历AddressOfNames 和 AddressOfNameOrdinals 这两个数组。如果使用函数序数，减掉nBase值后就可直接索引AddressOfFunctions 数组。

如果一函数通过名字引出，那在GetProcAddress中可以使用名字或序数。但函数仅由序数引出情况又怎样呢? 现在就来看看。
"一个函数仅由序数引出"意味着函数在AddressOfNames 和 AddressOfNameOrdinals 数组中不存在相关项。记住两个域，NumberOfFunctions 和 NumberOfNames。这两个域可以清楚地显示有时某些函数没有名字的。函数数目至少等同于名字数目，没有名字的函数通过序数引出。比如，如果存在70个函数但AddressOfNames数组中只有40项，这就意味着模块中有30个函数是仅通过序数引出的。现在我们怎样找出那些仅通过序数引出的函数呢?这不容易，必须通过排除法，比如，AddressOfFunctions 的数组项在AddressOfNameOrdinals 数组中不存在相关指向，这就说明该函数RVA只通过序数引出。

示例:

本例类似上课的范例。然而，在显示IMAGE_EXPORT_DIRECTORY 结构一些成员信息的同时，也列出了引出函数的RVAs，序数和名字。注意本例没有列出仅由序数引出的函数。

 

VC6示范代码：

/* 分析PE引出表函数 */
void PARSE_EXPORT_TABLE_CALLBACK(IMAGE_DATA_DIRECTORY* lpImageDataDirectory,PVOID pImageBase)
{
	if(!lpImageDataDirectory || !(lpImageDataDirectory->VirtualAddress))
		return;
	
	WRITE_LINE(TEXT("\n\n---------------------PARSE EXPORT TABLE-----------------------"));
	IMAGE_EXPORT_DIRECTORY* lpImageExportDirectory =  (IMAGE_EXPORT_DIRECTORY*)(RVAToFileOffset(pImageBase,lpImageDataDirectory->VirtualAddress));
	if (!lpImageExportDirectory->NumberOfNames)//判断有无命名函数导出
		return;
	WRITE_LINE("the information of current module:");
	std::cout	<< TEXT("\tName:") << (char*)RVAToFileOffset(pImageBase,lpImageExportDirectory->Name) << TEXT("\t")
				<< TEXT("\n\tBase:") << lpImageExportDirectory->Base << TEXT("\t")
				<< TEXT("\n\tNumberOfFunctions:") << lpImageExportDirectory->NumberOfFunctions << TEXT("\t")
				<< TEXT("\n\tNumberOfNames:") << lpImageExportDirectory->NumberOfNames << TEXT("\t")
				<< TEXT("\n\tAddressOfFunctions:") << lpImageExportDirectory->AddressOfFunctions << TEXT("\t")
				<< TEXT("\n\tAddressOfNames:") << lpImageExportDirectory->AddressOfNames << TEXT("\t")
				<< TEXT("\n\tAddressOfNameOrdinals:") << lpImageExportDirectory->AddressOfNameOrdinals << TEXT("\t")
				<< std::endl;
	WRITE_LINE("\n\nthe functions information of current module:");

	int numberOfNames = lpImageExportDirectory->NumberOfNames;

	 DWORD* pAddressOfNames = (DWORD*)(RVAToFileOffset(pImageBase,lpImageExportDirectory->AddressOfNames));
	 WORD* pAddressOfNameOrdinals = (WORD*)(RVAToFileOffset(pImageBase,lpImageExportDirectory->AddressOfNameOrdinals));
	 DWORD* pAddressOfFunctions = (DWORD*)(RVAToFileOffset(pImageBase,lpImageExportDirectory->AddressOfFunctions));
	 WRITE_LINE("\tOrdinal\tHint\tFunction\t\t\tEntryPoint\n");
	 while (numberOfNames-- > 0)
	 {		
		//得到函数名称
		 char* functionName = (char*)(RVAToFileOffset(pImageBase,*pAddressOfNames));
		//得到函数索引
		 WORD index = *pAddressOfNameOrdinals;//AddressOfNameOrdinals RVA，指向包含AddressOfNames数组中相关函数之序数的16位数组 
		 //得到函数Ordinal
		 int ordinal = lpImageExportDirectory->Base+index;

		 //得到函数地址
		 DWORD* pFunctionEntryPoint = pAddressOfFunctions+index;
		
		
		std::cout	<< TEXT("\t")
					<< ordinal
					<< TEXT("\t")
					<< index 
					<< TEXT("\t")
					<< functionName
					<< TEXT("\t\t\t")
					<< *pFunctionEntryPoint
					<<std::endl;

		pAddressOfNames++;	
		pAddressOfNameOrdinals++;
	 }
}

 

#define PE_FILE_NAME TEXT("C:\\WINDOWS\\twain_32.dll")

 

void main()
{
	std::cout.setf(std::ios::hex,std::ios::basefield);//设置输出格式为16进制
	

	//将文件映射到内存
	PVOID pMapping = MapFileToView(PE_FILE_NAME);
	//获取文件头
	IMAGE_NT_HEADERS* lpImageNtHeader = GetPeHeader(pMapping);
	
	if (lpImageNtHeader)
	{
		//显示文件头信息
		PARSE_NT_HEADER_CALLBACK(lpImageNtHeader);
		//显示文件节头信息
		PARSE_SECTION_HEADER_CALLBACK(GET_IMAGE_SECTION_HEADER(lpImageNtHeader),GET_IMAGE_NUMBER_OF_SECTIONS(lpImageNtHeader));
		//分析导入表
		PARSE_IMPORT_TABLE_CALLBACK(&(lpImageNtHeader->OptionalHeader.DataDirectory[1]),pMapping);	
		//分析导出表
		PARSE_EXPORT_TABLE_CALLBACK(&(lpImageNtHeader->OptionalHeader.DataDirectory[0]),pMapping);
	}
	
	//取消映射
	UnmapViewOfFile(pMapping);
	pMapping = NULL;

}

运行结果：