Прочесываю таблицу экспортов в PE-файле, если там встречаются форварды, то вместо адреса экспорта содержится ASCIIZ-строка типа NTDLL.RtlDecodePointer.
Может быть вопрос у меня не совсем корректный, но по другому сформировать не могу - как можно отличить форвард-строку от действительного адреса экспортируемой функции?

| Сообщение посчитали полезным:

Вопрос не корректный. Форвард строка лежит ВМЕСТО тела функции. Т.е. либо идет тело функции либо форвард строка. А отличить просто, форвард строка всегда лежит в директории экспорта не далее чем DirSize.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным: gringoz0id

К слову сказать, в мане по ПЕ-формату это написано. Так что обращайся к первоисточнику, и будет тебе счастье.

| Сообщение посчитали полезным:

PE_Kill, Archer
Спасибо еще раз ;) Тему можно закрыть

| Сообщение посчитали полезным:

Автор и сам закрыть может, кнопка Закрыть тему под кнопкой Отправить сообщение.

| Сообщение посчитали полезным: