本文共 679 字，大约阅读时间需要 2 分钟。

从序号查找入口地址

（1）定位到PE文件头。

（2）从PE文件头中的IMAGE_OPTIONAL_HEADER32结构中取出数据目录表，并从第一个数据目录中得到导出表的地址。

（3）从导出表的nBase字段得到起始序号。

（4）将需要查找的导出序号减去起始序号，就得到了函数在入口地址表中的索引。

（5）检测索引值是否大于导出表的NumberOfFunctions字段的值，如果大于后者的话，说明输入的序号是无效的。

（6）用这个索引值在AddressOfFunctions字段指向的导出函数入口地址表中取出相应的项目，这就是函数的入口地址RVA值，当函数被装入内存的时候，这个RVA值加上模块实际装入的基址，就得到了函数真正的入口地址。

从函数名称查找入口地址

（1）最初的步骤是一样的，那就是首先得到导出表的地址。

（2）从导出表的NumberOfNames字段得到已命名函数的总数，并以这个数字作为循环的次数来构造一个循环。

（3）从AddressOfNames字段指向的函数名称地址表的第一项开始，在循环中将每一项定义的函数名与要查找的函数名相比较，如果没有任何一个函数名是符合的，表示文件中没有指定名称的函数。

（4）如果某一项定义的函数名与要查找的函数名符合，那么记下这个函数名在字符串地址表中的索引值，然后在AddressOfNameOrdinals 指向的数组中以同样的索引值取出数组项的值，暂且假定这个值为x。

（5）最后，以x值作为索引值，在AddressOfFunctions 字段指向的函数入口地址表中获取的RVA就是函数的入口地址。

转载地址：http://npumf.baihongyu.com/