導(dǎo)讀：
　　JIURL PE 格式學(xué)習(xí)總結(jié)（二）-- PE文件中的輸出函數(shù)
　　作者: JIURL
　　主頁: http://jiurl.yeah.net/
　　日期: 2003-4-24
　　一般來說輸出函數(shù)都是在dll中。我們將詳細(xì)介紹關(guān)于輸出函數(shù)的各種結(jié)構(gòu)，通過一個(gè)例子來說明輸出函數(shù)及其相關(guān)結(jié)構(gòu)是怎么放在PE文件中的。以及如何在PE文件中找到這些東西。
　　一 找到輸出函數(shù)在文件中位置。
　　1.1 得到PE Header在文件中的位置。
　　通過DOS Header結(jié)構(gòu)的成員e_lfanew，可以確定PE Header的在文件中的位置。
　　1.2 得到文件中節(jié)的數(shù)目。
　　確定PE Header的在文件中的位置之后，就可以確定PE Header中的成員FileHeader和成員OptionalHeader在文件中的位置。根據(jù) FileHeader 中的 成員NumberOfSections 的值，就可以確定文件中節(jié)的數(shù)目，也就是節(jié)表數(shù)組中元素的個(gè)數(shù)。
　　1.3 得到節(jié)表在文件中的位置。
　　PE Header在文件中的位置加上PE Header結(jié)構(gòu)的大小就可以得到節(jié)表在文件中的開始位置。PE Header結(jié)構(gòu)的大小可以由Signature的大小加上FileHeader的大小再加上FileHeader中的SizeOfOptionalHeade來確定。其實(shí)到目前為止SizeOfOptionalHeade也就是結(jié)構(gòu)Optional Header的大小也是固定的,所以整個(gè)PE Header結(jié)構(gòu)的大小也是固定。不過為了安全起見，還是用Signature的大小加上FileHeader的大小再加上FileHeader中的SizeOfOptionalHeade來確定比較保險(xiǎn)。
　　1.4 得到輸出函數(shù)在文件中的位置。
　　第1.2步中我們確定了文件中節(jié)的數(shù)目，第1.3步中我們確定了節(jié)表在文件中的位置。
　　現(xiàn)在來確定輸出函數(shù)在文件中的位置。
　　取得PE Header中的Optional Header中的DataDirectory數(shù)組中的第一項(xiàng)，
　　也就是輸出函數(shù)項(xiàng)。DataDirectory[]數(shù)組的每項(xiàng)都是IMAGE_DATA_DIRECTORY結(jié)構(gòu)，該結(jié)構(gòu)定義如下。
　　typedef struct _IMAGE_DATA_DIRECTORY {
　　DWORD VirtualAddress;
　　DWORD Size;
　　} IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY;
　　取得DataDirectory數(shù)組中的第一項(xiàng)中的成員VirtualAddress的值。這個(gè)值就是在內(nèi)存中資源節(jié)的RVA。
　　如果這個(gè)RVA的值為0表示這個(gè)PE文件中沒有輸出函數(shù)。
　　然后根據(jù)節(jié)的數(shù)目，遍歷節(jié)表數(shù)組。也就是從0到(節(jié)表數(shù)-1)的每一個(gè)節(jié)表項(xiàng)。
　　每個(gè)節(jié)在內(nèi)存中的RVA的范圍是從該節(jié)表項(xiàng)的成員VirtualAddress字段的值開始（包括這個(gè)值），
　　到VirtualAddress+Misc.VirtualSize的值結(jié)束（不包括這個(gè)值）。
　　我們遍歷整個(gè)節(jié)表，看我們?nèi)〉玫妮敵龊瘮?shù)的RVA，在哪個(gè)節(jié)表項(xiàng)的RVA范圍之內(nèi)。
　　如果在范圍之內(nèi)，就找到了輸出函數(shù)所在節(jié)的節(jié)表項(xiàng)。
　　這個(gè)節(jié)表項(xiàng)中的 PointerToRawData 中的值，就是輸出函數(shù)所在節(jié)在文件中的位置。這個(gè)節(jié)表項(xiàng)中的VirtualAddress 中的值，就是輸出函數(shù)所在節(jié)在內(nèi)存中的RVA。用輸出函數(shù)的RVA減去輸出函數(shù)所在節(jié)的RVA,就可以得到輸出函數(shù)在該節(jié)內(nèi)偏移。用這個(gè)偏移加上該節(jié)的在文件中的位置，就可以得到輸出函數(shù)在文件中的位置。即DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress - SectionTable[i].VirtualAddress + SectionTable[i].PointerToRawData 。
　　這樣我們就得到了輸出函數(shù)在文件中開始的位置。
　　二 PE文件中的輸出函數(shù)。
　　輸出函數(shù)是用來給其他程序使用的。其他程序如果知道了某個(gè)輸出函數(shù)的入口地址（就是實(shí)現(xiàn)這個(gè)函數(shù)功能的代碼開始的地方），就可以轉(zhuǎn)到那里去執(zhí)行。一個(gè)PE文件中，如果有有輸出函數(shù)，一般都不是一個(gè)。所以有一個(gè)數(shù)組來保存每個(gè)輸出函數(shù)的入口地址。在PE文件中，提供兩種方法，來找到某個(gè)輸出函數(shù)的入口地址。第一種方法是通過入口地址數(shù)組序號(hào)，就是說知道是入口地址數(shù)組中的第幾個(gè)元素，這樣就可以得到里面的入口地址。第二種方法是通過函數(shù)名，通過比較函數(shù)名，然后得到對(duì)應(yīng)該函數(shù)名的入口地址數(shù)組的序號(hào)，從而得到該函數(shù)名的對(duì)應(yīng)函數(shù)的入口地址。為了能夠通過函數(shù)名得到序號(hào)，就需要一些相關(guān)的結(jié)構(gòu)。具體內(nèi)容后面講。總得來說PE文件的輸出函數(shù)部分中就是這些東西。
　　前面我們已經(jīng)得到了輸出函數(shù)部分在文件中開始的位置，在輸出函數(shù)部分的最開始，是一個(gè)IMAGE_EXPORT_DIRECTORY 結(jié)構(gòu)，這個(gè)結(jié)構(gòu)提供很多重要的信息。這個(gè)結(jié)構(gòu)的后面緊跟著的是 輸出函數(shù)入口地址數(shù)組 。輸出函數(shù)入口地址數(shù)組之后緊跟著的是輸出函數(shù)名的指針數(shù)組。輸出函數(shù)名的指針數(shù)組之后緊跟著的是輸出函數(shù)名對(duì)應(yīng)的序號(hào)的數(shù)組。輸出函數(shù)名對(duì)應(yīng)的序號(hào)的數(shù)組之后緊跟著dll的名字和輸出函數(shù)的名字。注意，他們之間是緊挨著的。并且順序?yàn)镮MAGE_EXPORT_DIRECTORY，輸出函數(shù)入口地址的數(shù)組，輸出函數(shù)名的指針的數(shù)組，輸出函數(shù)名對(duì)應(yīng)的序號(hào)的數(shù)組。最后是dll的名字的字符串和那些輸出函數(shù)名的字符串。
　　先看IMAGE_EXPORT_DIRECTORY 結(jié)構(gòu)，在WINNT.H中定義如下。
　　typedef struct _IMAGE_EXPORT_DIRECTORY {
　　DWORD Characteristics;
　　DWORD TimeDateStamp;
　　WORD MajorVersion;
　　WORD MinorVersion;
　　DWORD Name;
　　DWORD Base;
　　DWORD NumberOfFunctions;
　　DWORD NumberOfNames;
　　DWORD AddressOfFunctions; // RVA from base of image
　　DWORD AddressOfNames; // RVA from base of image
　　DWORD AddressOfNameOrdinals; // RVA from base of image
　　} IMAGE_EXPORT_DIRECTORY, *PIMAGE_EXPORT_DIRECTORY;
　　這個(gè)結(jié)構(gòu)長度為40個(gè)字節(jié)，共有11個(gè)字段。
　　各字段含義如下：
　　Characteristics：一個(gè)保留字段，目前為止值為0。
　　TimeDateStamp：產(chǎn)生的時(shí)間。
　　MajorVersion：
　　MinorVersion：
　　Name：一個(gè)RVA，指向一個(gè)dll的名稱的ascii字符串。
　　Base：輸出函數(shù)的起始序號(hào)。一般為1。
　　NumberOfFunctions：輸出函數(shù)入口地址的數(shù)組 中的元素個(gè)數(shù)。
　　NumberOfNames：輸出函數(shù)名的指針的數(shù)組 中的元素個(gè)數(shù)，也是輸出函數(shù)名對(duì)應(yīng)的序號(hào)的數(shù)組 中的元素個(gè)數(shù)。
　　AddressOfFunctions：一個(gè)RVA，指向輸出函數(shù)入口地址的數(shù)組。
　　AddressOfNames：一個(gè)RVA，指向輸出函數(shù)名的指針的數(shù)組。
　　AddressOfNameOrdinals：一個(gè)RVA，指向輸出函數(shù)名對(duì)應(yīng)的序號(hào)的數(shù)組。
　　輸出函數(shù)入口地址的數(shù)組，這個(gè)數(shù)組是一個(gè)DWORD數(shù)組，每個(gè)元素都是一個(gè)RVA，指向一個(gè)輸出函數(shù)的入口地址，每個(gè)元素長4個(gè)字節(jié)。
　　輸出函數(shù)名的指針的數(shù)組，這個(gè)數(shù)組是一個(gè)DWORD數(shù)組，每個(gè)元素都是一個(gè)RVA，指向一個(gè)輸出函數(shù)名的ascii字符串，每個(gè)元素長4個(gè)字節(jié)。
　　輸出函數(shù)名對(duì)應(yīng)的序號(hào)的數(shù)組，這個(gè)數(shù)組是一個(gè)WORD數(shù)組，每個(gè)元素都是某個(gè)輸出函數(shù)名函數(shù)對(duì)應(yīng)的索引，這個(gè)索引是輸出函數(shù)入口地址的數(shù)組的索引（已經(jīng)用序號(hào)減去起始序號(hào)了），這個(gè)每個(gè)元素長2個(gè)字節(jié)。
　　dll名字符串和輸出函數(shù)名字符串，都是ascii字符串，以空結(jié)束。一個(gè)緊挨著一個(gè)。dll名字符串的地址存在IMAGE_EXPORT_DIRECTORY 的 Name 中。輸出函數(shù)名字符串 的地址存在 輸出函數(shù)名的指針的數(shù)組 中。
　　還有要注意的是：
　　輸出函數(shù)入口地址的數(shù)組包含著輸出函數(shù)的入口點(diǎn)地址，一個(gè)序號(hào)減去起始序號(hào)（起始序號(hào)就是 IMAGE_EXPORT_DIRECTORY 中的 Base），用來索引這個(gè)數(shù)組。比如，起始序號(hào)為1，要找序號(hào)為1的函數(shù)的入口地址，那么該函數(shù)的入口地址為 輸出函數(shù)入口地址數(shù)組[0]（0是由1-1算出來的）序號(hào)為3的函數(shù)的入口地址為 輸出函數(shù)入口地址數(shù)組[2]（2是由3-1算出來的）。
　　當(dāng)載入器要修正一個(gè)函數(shù)的調(diào)用，而這個(gè)函數(shù)是用序號(hào)輸入的，載入器只要用序號(hào)減去起始序號(hào)，得到輸出函數(shù)入口地址的數(shù)組的索引，就可以了。
　　當(dāng)載入器要修正一個(gè)函數(shù)的調(diào)用，而這個(gè)函數(shù)是用函數(shù)名輸入的，載入器比較輸出函數(shù)名的指針的數(shù)組每個(gè)元素所指的函數(shù)名，比如在第3個(gè)元素中比較，發(fā)現(xiàn)相同。載入器就會(huì)從 輸出函數(shù)名對(duì)應(yīng)的序號(hào)的數(shù)組 的第三個(gè)元素的值 得到該函數(shù)的序號(hào)。用這個(gè)序號(hào)就可以在象前面那樣用序號(hào)得到入口地址。輸出函數(shù)名的指針的數(shù)組 和 輸出函數(shù)名對(duì)應(yīng)的序號(hào)的數(shù)組 有相同的元素個(gè)數(shù)（IMAGE_EXPORT_DIRECTORY 中的 NumberOfNames）。并且是有所關(guān)聯(lián)的，函數(shù)名指針數(shù)組的第i個(gè)元素的序號(hào)，在序號(hào)數(shù)組的第i個(gè)元素中。輸出函數(shù)名的指針的數(shù)組和輸出函數(shù)名對(duì)應(yīng)的序號(hào)的數(shù)組，分開成兩個(gè)數(shù)組，而不是合并成一個(gè)結(jié)構(gòu)體的數(shù)組（這個(gè)結(jié)構(gòu)體第一個(gè)成員是指針，第二個(gè)成員是序號(hào)），是因?yàn)椋菢拥脑挃?shù)組的一個(gè)元素長6個(gè)字節(jié)，不利于對(duì)齊。
　　下面我們來通過一個(gè)例子，來看上面所介紹的內(nèi)容。
　　我們的例子是Win2k中的dll文件routetab.dll。為了防止大家版本不同，本文附帶了這個(gè)PE文件。
　　用開始講到的尋找輸出部分在文件中位置的方法，我們找到了輸出部分在文件中的位置為00001460h。
　　由于第一個(gè)結(jié)構(gòu)IMAGE_EXPORT_DIRECTORY比較長，一行方不下，所以放了三行，結(jié)構(gòu)的不同成員用 / 分開。
　　其他每行是一個(gè)結(jié)構(gòu)。可以用16進(jìn)制編輯器打開附帶的 routetab.dll 對(duì)照著看。
　　我們來算一下 Name，AddressOfFunctions，AddressOfNames，AddressOfNameOrdinals 在文件中的位置。
　　輸出部分的開始rva（由DataDirectory[1]得到）為1e60h。輸出部分在文件中的位置為1460h。
　　Name為rva(值從結(jié)構(gòu)中可以看到是00001eec，如果你不明白為什么是00001eec而不是ec1e0000的話，請(qǐng)看 《JIURL PE 格式學(xué)習(xí)總結(jié)（一）》中關(guān)于 big-endian和little-endian的介紹)，則Name相對(duì)于輸出部分開始處的偏移為1eec-1e60。而Name在文件中的位置為Name在相對(duì)于輸出部分開始的偏移加上輸出部分開始處在文件中的位置。所以Name在文件中的位置為1EEC-1E60+1460=14ECh。同樣方法我們可以算出， AddressOfFunctions：
　　1e88-1e60+1460=1488。AddressOfNames：1eb0-1e60+1460=14b0 。AddressOfNameOrdinals：1ed8-1e60+1460=14d8。 從結(jié)構(gòu)中還可以看到有0000000a（十進(jìn)制10）個(gè)輸出函數(shù)。
　　00001460: {00 00 00 00 / dc 5b ec 37 / 00 00 / 00 00 / ec 1e 00 00 /
　　00001470: 01 00 00 00 / 0a 00 00 00 / 0a 00 00 00 / 88 1e 00 00 /
　　00001480: b0 1e 00 00 / d8 1e 00 00 }
　　（我們用大括號(hào)括起來了，IMAGE_EXPORT_DIRECTORY結(jié)構(gòu)，長度為40個(gè)字節(jié)）
　　00001488: 41 1a 00 00 （函數(shù)入口點(diǎn)的RVA,長4個(gè)字節(jié)）
　　0000148C: 64 1a 00 00
　　00001490: 02 18 00 00
　　00001494: 02 18 00 00
　　00001498: 71 16 00 00
　　0000149C: 07 16 00 00
　　000014A0: 26 18 00 00
　　000014A4: 84 1a 00 00
　　000014A8: 06 17 00 00
　　000014AC: 5b 19 00 00
　　000014B0: f9 1e 00 00 （函數(shù)名的指針，長4個(gè)字節(jié)，指向 1ef9-1e60+1460=14f9）
　　000014B4: 02 1f 00 00
　　000014B8: 0e 1f 00 00
　　000014BC: 21 1f 00 00
　　000014C0: 30 1f 00 00
　　000014C4: 42 1f 00 00
　　000014C8: 4d 1f 00 00
　　000014CC: 5b 1f 00 00
　　000014D0: 6c 1f 00 00
　　000014D4: 81 1f 00 00
　　000014D8: 00 00 （索引，說明的1個(gè)函數(shù)名的函數(shù)，入口地址在 地址數(shù)組[0]）
　　（并不是每個(gè)PE文件序號(hào)數(shù)組的第0個(gè)元素值就是0，第1個(gè)元素值就是1，ntdll.dll中就不是）
　　000014DA: 01 00
　　000014DC: 02 00
　　000014DE: 03 00
　　000014E0: 04 00
　　000014E2: 05 00
　　000014E4: 06 00
　　000014E6: 07 00
　　000014E8: 08 00
　　000014EA: 09 00
　　000014EC: 52 4f 55 54 45 54 41 42 2e 64 6c 6c 00 ROUTETAB.dll.
　　000014F9: 41 64 64 52 6f 75 74 65 00 AddRoute.
　　00001502: 44 65 6c 65 74 65 52 6f 75 74 65 00 DeleteRoute.
　　0000150E: 46 72 65 65 49 50 41 64 64 72 65 73 73 54 61 62 6c 65 00 FreeIPAddressTable.
　　00001521: 46 72 65 65 52 6f 75 74 65 54 61 62 6c 65 00 FreeRouteTable.
　　00001530: 47 65 74 49 50 41 64 64 72 65 73 73 54 61 62 6c 65 00 GetIPAddressTable.
　　00001542: 47 65 74 49 66 45 6e 74 72 79 00 GetIfEntry.
　　0000154D: 47 65 74 52 6f 75 74 65 54 61 62 6c 65 00 GetRouteTable.
　　0000155B: 52 65 66 72 65 73 68 41 64 64 72 65 73 73 65 73 00 RefreshAddresses.
　　0000156C: 52 65 6c 6f 61 64 49 50 41 64 64 72 65 73 73 54 61 62 6c 65 00 ReloadIPAddressTable.
　　00001581: 53 65 74 41 64 64 72 43 68 61 6e 67 65 4e 6f 74 69 66 79 45 76 65 6e 74 00
　　SetAddrChangeNotifyEvent.
　　0000159A: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
　　000015AA: ...
　　000015F0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
　　還是比較清楚的，就不再講了。
　　三 遍歷PE文件中的輸出
　　根據(jù)前面的方法得到輸出部分的開始地址，最開始是一個(gè)IMAGE_EXPORT_DIRECTORY，根據(jù)這個(gè)結(jié)構(gòu)中的內(nèi)容，可以得到，和輸出相關(guān)的三個(gè)數(shù)組的開始地址，和元素個(gè)數(shù)。用for循環(huán)可以很簡單的遍歷。
　　實(shí)現(xiàn)遍歷輸出的源程序，可以參考 PEDUMP - Matt Pietrek 1995 。《Windows95系統(tǒng)程式設(shè)計(jì)大奧秘》附書源碼中有。
　　完
　　本文所使用的PE文件routetab.dll

本文來自CSDN博客，轉(zhuǎn)載請(qǐng)標(biāo)明出處：http://blog.csdn.net/yingfox/archive/2007/11/17/1890182.aspx