導讀：
　　JIURL PE 格式學習總結（二）-- PE文件中的輸出函數(shù)
　　作者: JIURL
　　主頁: http://jiurl.yeah.net/
　　日期: 2003-4-24
　　一般來說輸出函數(shù)都是在dll中。我們將詳細介紹關于輸出函數(shù)的各種結構，通過一個例子來說明輸出函數(shù)及其相關結構是怎么放在PE文件中的。以及如何在PE文件中找到這些東西。
　　一 找到輸出函數(shù)在文件中位置。
　　1.1 得到PE Header在文件中的位置。
　　通過DOS Header結構的成員e_lfanew，可以確定PE Header的在文件中的位置。
　　1.2 得到文件中節(jié)的數(shù)目。
　　確定PE Header的在文件中的位置之后，就可以確定PE Header中的成員FileHeader和成員OptionalHeader在文件中的位置。根據(jù) FileHeader 中的 成員NumberOfSections 的值，就可以確定文件中節(jié)的數(shù)目，也就是節(jié)表數(shù)組中元素的個數(shù)。
　　1.3 得到節(jié)表在文件中的位置。
　　PE Header在文件中的位置加上PE Header結構的大小就可以得到節(jié)表在文件中的開始位置。PE Header結構的大小可以由Signature的大小加上FileHeader的大小再加上FileHeader中的SizeOfOptionalHeade來確定。其實到目前為止SizeOfOptionalHeade也就是結構Optional Header的大小也是固定的,所以整個PE Header結構的大小也是固定。不過為了安全起見，還是用Signature的大小加上FileHeader的大小再加上FileHeader中的SizeOfOptionalHeade來確定比較保險。
　　1.4 得到輸出函數(shù)在文件中的位置。
　　第1.2步中我們確定了文件中節(jié)的數(shù)目，第1.3步中我們確定了節(jié)表在文件中的位置。
　　現(xiàn)在來確定輸出函數(shù)在文件中的位置。
　　取得PE Header中的Optional Header中的DataDirectory數(shù)組中的第一項，
　　也就是輸出函數(shù)項。DataDirectory[]數(shù)組的每項都是IMAGE_DATA_DIRECTORY結構，該結構定義如下。
　　typedef struct _IMAGE_DATA_DIRECTORY {
　　DWORD VirtualAddress;
　　DWORD Size;
　　} IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY;
　　取得DataDirectory數(shù)組中的第一項中的成員VirtualAddress的值。這個值就是在內(nèi)存中資源節(jié)的RVA。
　　如果這個RVA的值為0表示這個PE文件中沒有輸出函數(shù)。
　　然后根據(jù)節(jié)的數(shù)目，遍歷節(jié)表數(shù)組。也就是從0到(節(jié)表數(shù)-1)的每一個節(jié)表項。
　　每個節(jié)在內(nèi)存中的RVA的范圍是從該節(jié)表項的成員VirtualAddress字段的值開始（包括這個值），
　　到VirtualAddress+Misc.VirtualSize的值結束（不包括這個值）。
　　我們遍歷整個節(jié)表，看我們?nèi)〉玫妮敵龊瘮?shù)的RVA，在哪個節(jié)表項的RVA范圍之內(nèi)。
　　如果在范圍之內(nèi)，就找到了輸出函數(shù)所在節(jié)的節(jié)表項。
　　這個節(jié)表項中的 PointerToRawData 中的值，就是輸出函數(shù)所在節(jié)在文件中的位置。這個節(jié)表項中的VirtualAddress 中的值，就是輸出函數(shù)所在節(jié)在內(nèi)存中的RVA。用輸出函數(shù)的RVA減去輸出函數(shù)所在節(jié)的RVA,就可以得到輸出函數(shù)在該節(jié)內(nèi)偏移。用這個偏移加上該節(jié)的在文件中的位置，就可以得到輸出函數(shù)在文件中的位置。即DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress - SectionTable[i].VirtualAddress + SectionTable[i].PointerToRawData 。
　　這樣我們就得到了輸出函數(shù)在文件中開始的位置。
　　二 PE文件中的輸出函數(shù)。
　　輸出函數(shù)是用來給其他程序使用的。其他程序如果知道了某個輸出函數(shù)的入口地址（就是實現(xiàn)這個函數(shù)功能的代碼開始的地方），就可以轉(zhuǎn)到那里去執(zhí)行。一個PE文件中，如果有有輸出函數(shù)，一般都不是一個。所以有一個數(shù)組來保存每個輸出函數(shù)的入口地址。在PE文件中，提供兩種方法，來找到某個輸出函數(shù)的入口地址。第一種方法是通過入口地址數(shù)組序號，就是說知道是入口地址數(shù)組中的第幾個元素，這樣就可以得到里面的入口地址。第二種方法是通過函數(shù)名，通過比較函數(shù)名，然后得到對應該函數(shù)名的入口地址數(shù)組的序號，從而得到該函數(shù)名的對應函數(shù)的入口地址。為了能夠通過函數(shù)名得到序號，就需要一些相關的結構。具體內(nèi)容后面講。總得來說PE文件的輸出函數(shù)部分中就是這些東西。
　　前面我們已經(jīng)得到了輸出函數(shù)部分在文件中開始的位置，在輸出函數(shù)部分的最開始，是一個IMAGE_EXPORT_DIRECTORY 結構，這個結構提供很多重要的信息。這個結構的后面緊跟著的是 輸出函數(shù)入口地址數(shù)組 。輸出函數(shù)入口地址數(shù)組之后緊跟著的是輸出函數(shù)名的指針數(shù)組。輸出函數(shù)名的指針數(shù)組之后緊跟著的是輸出函數(shù)名對應的序號的數(shù)組。輸出函數(shù)名對應的序號的數(shù)組之后緊跟著dll的名字和輸出函數(shù)的名字。注意，他們之間是緊挨著的。并且順序為IMAGE_EXPORT_DIRECTORY，輸出函數(shù)入口地址的數(shù)組，輸出函數(shù)名的指針的數(shù)組，輸出函數(shù)名對應的序號的數(shù)組。最后是dll的名字的字符串和那些輸出函數(shù)名的字符串。
　　先看IMAGE_EXPORT_DIRECTORY 結構，在WINNT.H中定義如下。
　　typedef struct _IMAGE_EXPORT_DIRECTORY {
　　DWORD Characteristics;
　　DWORD TimeDateStamp;
　　WORD MajorVersion;
　　WORD MinorVersion;
　　DWORD Name;
　　DWORD Base;
　　DWORD NumberOfFunctions;
　　DWORD NumberOfNames;
　　DWORD AddressOfFunctions; // RVA from base of image
　　DWORD AddressOfNames; // RVA from base of image
　　DWORD AddressOfNameOrdinals; // RVA from base of image
　　} IMAGE_EXPORT_DIRECTORY, *PIMAGE_EXPORT_DIRECTORY;
　　這個結構長度為40個字節(jié)，共有11個字段。
　　各字段含義如下：
　　Characteristics：一個保留字段，目前為止值為0。
　　TimeDateStamp：產(chǎn)生的時間。
　　MajorVersion：
　　MinorVersion：
　　Name：一個RVA，指向一個dll的名稱的ascii字符串。
　　Base：輸出函數(shù)的起始序號。一般為1。
　　NumberOfFunctions：輸出函數(shù)入口地址的數(shù)組 中的元素個數(shù)。
　　NumberOfNames：輸出函數(shù)名的指針的數(shù)組 中的元素個數(shù)，也是輸出函數(shù)名對應的序號的數(shù)組 中的元素個數(shù)。
　　AddressOfFunctions：一個RVA，指向輸出函數(shù)入口地址的數(shù)組。
　　AddressOfNames：一個RVA，指向輸出函數(shù)名的指針的數(shù)組。
　　AddressOfNameOrdinals：一個RVA，指向輸出函數(shù)名對應的序號的數(shù)組。
　　輸出函數(shù)入口地址的數(shù)組，這個數(shù)組是一個DWORD數(shù)組，每個元素都是一個RVA，指向一個輸出函數(shù)的入口地址，每個元素長4個字節(jié)。
　　輸出函數(shù)名的指針的數(shù)組，這個數(shù)組是一個DWORD數(shù)組，每個元素都是一個RVA，指向一個輸出函數(shù)名的ascii字符串，每個元素長4個字節(jié)。
　　輸出函數(shù)名對應的序號的數(shù)組，這個數(shù)組是一個WORD數(shù)組，每個元素都是某個輸出函數(shù)名函數(shù)對應的索引，這個索引是輸出函數(shù)入口地址的數(shù)組的索引（已經(jīng)用序號減去起始序號了），這個每個元素長2個字節(jié)。
　　dll名字符串和輸出函數(shù)名字符串，都是ascii字符串，以空結束。一個緊挨著一個。dll名字符串的地址存在IMAGE_EXPORT_DIRECTORY 的 Name 中。輸出函數(shù)名字符串 的地址存在 輸出函數(shù)名的指針的數(shù)組 中。
　　還有要注意的是：
　　輸出函數(shù)入口地址的數(shù)組包含著輸出函數(shù)的入口點地址，一個序號減去起始序號（起始序號就是 IMAGE_EXPORT_DIRECTORY 中的 Base），用來索引這個數(shù)組。比如，起始序號為1，要找序號為1的函數(shù)的入口地址，那么該函數(shù)的入口地址為 輸出函數(shù)入口地址數(shù)組[0]（0是由1-1算出來的）序號為3的函數(shù)的入口地址為 輸出函數(shù)入口地址數(shù)組[2]（2是由3-1算出來的）。
　　當載入器要修正一個函數(shù)的調(diào)用，而這個函數(shù)是用序號輸入的，載入器只要用序號減去起始序號，得到輸出函數(shù)入口地址的數(shù)組的索引，就可以了。
　　當載入器要修正一個函數(shù)的調(diào)用，而這個函數(shù)是用函數(shù)名輸入的，載入器比較輸出函數(shù)名的指針的數(shù)組每個元素所指的函數(shù)名，比如在第3個元素中比較，發(fā)現(xiàn)相同。載入器就會從 輸出函數(shù)名對應的序號的數(shù)組 的第三個元素的值 得到該函數(shù)的序號。用這個序號就可以在象前面那樣用序號得到入口地址。輸出函數(shù)名的指針的數(shù)組 和 輸出函數(shù)名對應的序號的數(shù)組 有相同的元素個數(shù)（IMAGE_EXPORT_DIRECTORY 中的 NumberOfNames）。并且是有所關聯(lián)的，函數(shù)名指針數(shù)組的第i個元素的序號，在序號數(shù)組的第i個元素中。輸出函數(shù)名的指針的數(shù)組和輸出函數(shù)名對應的序號的數(shù)組，分開成兩個數(shù)組，而不是合并成一個結構體的數(shù)組（這個結構體第一個成員是指針，第二個成員是序號），是因為，那樣的話數(shù)組的一個元素長6個字節(jié)，不利于對齊。
　　下面我們來通過一個例子，來看上面所介紹的內(nèi)容。
　　我們的例子是Win2k中的dll文件routetab.dll。為了防止大家版本不同，本文附帶了這個PE文件。
　　用開始講到的尋找輸出部分在文件中位置的方法，我們找到了輸出部分在文件中的位置為00001460h。
　　由于第一個結構IMAGE_EXPORT_DIRECTORY比較長，一行方不下，所以放了三行，結構的不同成員用 / 分開。
　　其他每行是一個結構。可以用16進制編輯器打開附帶的 routetab.dll 對照著看。
　　我們來算一下 Name，AddressOfFunctions，AddressOfNames，AddressOfNameOrdinals 在文件中的位置。
　　輸出部分的開始rva（由DataDirectory[1]得到）為1e60h。輸出部分在文件中的位置為1460h。
　　Name為rva(值從結構中可以看到是00001eec，如果你不明白為什么是00001eec而不是ec1e0000的話，請看 《JIURL PE 格式學習總結（一）》中關于 big-endian和little-endian的介紹)，則Name相對于輸出部分開始處的偏移為1eec-1e60。而Name在文件中的位置為Name在相對于輸出部分開始的偏移加上輸出部分開始處在文件中的位置。所以Name在文件中的位置為1EEC-1E60+1460=14ECh。同樣方法我們可以算出， AddressOfFunctions：
　　1e88-1e60+1460=1488。AddressOfNames：1eb0-1e60+1460=14b0 。AddressOfNameOrdinals：1ed8-1e60+1460=14d8。 從結構中還可以看到有0000000a（十進制10）個輸出函數(shù)。
　　00001460: {00 00 00 00 / dc 5b ec 37 / 00 00 / 00 00 / ec 1e 00 00 /
　　00001470: 01 00 00 00 / 0a 00 00 00 / 0a 00 00 00 / 88 1e 00 00 /
　　00001480: b0 1e 00 00 / d8 1e 00 00 }
　　（我們用大括號括起來了，IMAGE_EXPORT_DIRECTORY結構，長度為40個字節(jié)）
　　00001488: 41 1a 00 00 （函數(shù)入口點的RVA,長4個字節(jié)）
　　0000148C: 64 1a 00 00
　　00001490: 02 18 00 00
　　00001494: 02 18 00 00
　　00001498: 71 16 00 00
　　0000149C: 07 16 00 00
　　000014A0: 26 18 00 00
　　000014A4: 84 1a 00 00
　　000014A8: 06 17 00 00
　　000014AC: 5b 19 00 00
　　000014B0: f9 1e 00 00 （函數(shù)名的指針，長4個字節(jié)，指向 1ef9-1e60+1460=14f9）
　　000014B4: 02 1f 00 00
　　000014B8: 0e 1f 00 00
　　000014BC: 21 1f 00 00
　　000014C0: 30 1f 00 00
　　000014C4: 42 1f 00 00
　　000014C8: 4d 1f 00 00
　　000014CC: 5b 1f 00 00
　　000014D0: 6c 1f 00 00
　　000014D4: 81 1f 00 00
　　000014D8: 00 00 （索引，說明的1個函數(shù)名的函數(shù)，入口地址在 地址數(shù)組[0]）
　　（并不是每個PE文件序號數(shù)組的第0個元素值就是0，第1個元素值就是1，ntdll.dll中就不是）
　　000014DA: 01 00
　　000014DC: 02 00
　　000014DE: 03 00
　　000014E0: 04 00
　　000014E2: 05 00
　　000014E4: 06 00
　　000014E6: 07 00
　　000014E8: 08 00
　　000014EA: 09 00
　　000014EC: 52 4f 55 54 45 54 41 42 2e 64 6c 6c 00 ROUTETAB.dll.
　　000014F9: 41 64 64 52 6f 75 74 65 00 AddRoute.
　　00001502: 44 65 6c 65 74 65 52 6f 75 74 65 00 DeleteRoute.
　　0000150E: 46 72 65 65 49 50 41 64 64 72 65 73 73 54 61 62 6c 65 00 FreeIPAddressTable.
　　00001521: 46 72 65 65 52 6f 75 74 65 54 61 62 6c 65 00 FreeRouteTable.
　　00001530: 47 65 74 49 50 41 64 64 72 65 73 73 54 61 62 6c 65 00 GetIPAddressTable.
　　00001542: 47 65 74 49 66 45 6e 74 72 79 00 GetIfEntry.
　　0000154D: 47 65 74 52 6f 75 74 65 54 61 62 6c 65 00 GetRouteTable.
　　0000155B: 52 65 66 72 65 73 68 41 64 64 72 65 73 73 65 73 00 RefreshAddresses.
　　0000156C: 52 65 6c 6f 61 64 49 50 41 64 64 72 65 73 73 54 61 62 6c 65 00 ReloadIPAddressTable.
　　00001581: 53 65 74 41 64 64 72 43 68 61 6e 67 65 4e 6f 74 69 66 79 45 76 65 6e 74 00
　　SetAddrChangeNotifyEvent.
　　0000159A: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
　　000015AA: ...
　　000015F0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
　　還是比較清楚的，就不再講了。
　　三 遍歷PE文件中的輸出
　　根據(jù)前面的方法得到輸出部分的開始地址，最開始是一個IMAGE_EXPORT_DIRECTORY，根據(jù)這個結構中的內(nèi)容，可以得到，和輸出相關的三個數(shù)組的開始地址，和元素個數(shù)。用for循環(huán)可以很簡單的遍歷。
　　實現(xiàn)遍歷輸出的源程序，可以參考 PEDUMP - Matt Pietrek 1995 。《Windows95系統(tǒng)程式設計大奧秘》附書源碼中有。
　　完
　　本文所使用的PE文件routetab.dll

本文來自CSDN博客，轉(zhuǎn)載請標明出處：http://blog.csdn.net/yingfox/archive/2007/11/17/1890182.aspx