PE出口表设计

Question

我刚刚浏览[1]，注意到以下摘录：

“导出函数的要求是名称、地址和 出口序号。你可能会认为 PE 格式的设计者 会将所有这三个项目放入一个结构中，然后 有一个由这些结构组成的数组。” “相反，一个 导出的条目是数组中的一个元素。有这三个 数组（AddressOfFunctions、AddressOfNames、AddressOfNameOrdinals）、 并且它们都是彼此平行的。”

我很好奇为什么它被实现为三个不同的数组而不是三个指针的结构。

谢谢！

[1] [http://msdn.microsoft.com/en-us/库/ms809762.aspx][1]

Answer 1

是的，这个结构有点复杂。除了历史原因之外，它可能还针对通过序号（而不是名称）访问导入的符号进行了优化。

如果我没记错的话，AddressOfFunctions 是一个 RVA（相对于图像库的指针），指向包含导出符号的 RVA 的数组。序数是该数组中的索引。这样，如果您有它，您就可以快速识别该符号。

OTOH，如果您只有符号名称，则 AddressOfNames 是指向包含指向 ascii 字符串符号名称的指针的数组的 RVA。您必须找到该符号，然后使用在 AddressOfNameOrdinals 指向的数组中找到的索引，这将为您提供符号序数。