вообщем необходимо получить таблицу экспорта файла ну точнее не саму таблицу а RVA некой функции...
но вобщем фроде формат читал но не доконца разобрался...начнем с того до чего я дошел:
получил адрес таблицы экспорта(ну перед этим получил смещение PE заголовка PEHeaderOffset):
SetFilePointer(FHandle,PEHeaderOffset + $78, nil,0);
ReadFile(Fhandle,ExportTableRVA,SizeOf(ExportTableRVA), BRead, nil);

но что то я так и не разобрался как получит функции и их RVA подскажите пожалуйста как это сделать, можно конечно кусок кода дать)

| Сообщение посчитали полезным:

твой код:
ReadFile(Fhandle,ExportTableRVA,SizeOf(NumOfSections), BRead, nil);
при чём тут SizeOf(NumOfSections) ?

примерный алго:
получил смещение PE заголовка IMAGE_DOS_HEADER.e_lfanew
узнал адрес таблицы экспорта IMAGE_NT_HEADERS.OptionalHeader.DataDirectory.VirtualAddress
получил указатель на имена IMAGE_EXPORT_DIRECTORY.AddressOfNames
перечисляешь имена, сверяя счётчик с IMAGE_EXPORT_DIRECTORY.NumberOfNames
когда нашёл имя нужной ф-ции,
узнаёшь номер ф-ции IMAGE_EXPORT_DIRECTORY.AddressOfNameOrdinals
получаешь адрес [edi].IMAGE_EXPORT_DIRECTORY.AddressOfFunctions

если ты знаешь формат PE, тебе будет не так уж сложно написать функцию

если лень думать своей головой - пиши, может напишу для тя ф-цию на асме ;)

-----
EnJoy!

| Сообщение посчитали полезным:

Лучше не использовать SetFilePointer и т.п, а замапить файл с флагом SEC_IMAGE. Иначе придётся долго решать проблемы из-за разных выравниваний секций в памяти и на диске. + учти, что может быть форвард. Кода в сети куча, на дельфи поищи статью на rsdn.ru про загрузчик.

| Сообщение посчитали полезным:

+1 протев ReadFile, мапинг проще.. аффтар пишет на дельфе, а там все стркутуры PE определены, так-что четайте "От зеленого к красному" с wasm'а сложностей возникнуть не должно...

-----
invoke OpenFire

| Сообщение посчитали полезным:

вот тебе код

type
TDWordArray = array [0..0] of DWORD;
TWordArray = array [0..0] of WORD;
PDWordArray = ^TDWordArray;
PWordArray = ^TWordArray;
...
pDosHeader : PImageDosHeader;
pPeHeader : PImageNtHeaders;
pPExport : PImageExportDirectory;
pName : PDWordArray;
pFunc : PDWordArray;
pOrd : PWordArray;
...
pDosHeader := PImageDosHeader(dwImageBase);
...
pPEHeader := PImageNtHeaders(dwPtr+DWord(PImageDosHeader(dwImageBase)._lfanew));
...
pPExport := PImageExportDirectory(dwPtr+pPEHeader.OptionalHeader.
DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress);
pName := POINTER(dwPtr + DWord(pPExport.AddressOfNames));
pFunc := POINTER(dwPtr + DWord(pPExport.AddressOfFunctions));
pOrd := POINTER(dwPtr + DWord(pPExport.AddressOfNameOrdinals));
For i := 0 to pPExport.NumberOfNames - 1 do
begin
...
end;


-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Jupiter пишет:
при чём тут SizeOf(NumOfSections) ?
это я описался...просто не то скопипистил, стал исправлять...исправил не все
За алго спасибо!
Hellspawn за код спасибо....будем разбираться!

| Сообщение посчитали полезным:

ne0n пишет:
За алго спасибо!
пожалст. в принципе, код Hellspawn'a по тому же алго ;)
есть нюанс - если ты пишешь не под конкретную прогу (где заведомо известно, что таблица экспорта корректна), то лучше всё-таки вызывать ф-цию для конверта RVA в файловое смещение, т.к. совсем не обязательно, что таблица лежит в одной секции.

-----
EnJoy!

| Сообщение посчитали полезным:

Jupiter таблица всегда корректна(ну я так думаю) но я уже решил что буду делать RVAToFileOffset...даже гдето реализации видел(береженого бог бережет:s5

| Сообщение посчитали полезным:

Еще есть такая функа в NTDLL - RtlImageDirectoryEntryToData,
NTSYSAPI
PVOID
RtlImageDirectoryEntryToData(
IN PVOID Base,
IN BOOLEAN MappedAsImage,
IN USHORT DirectoryEntry,
OUT PULONG Size
);
в данном случае
( PIMAGE_EXPORT_DIRECTORY )RtlImageDirectoryEntryToData( Image, TRUE, IMAGE_DIRECTORY_ENTRY_EXPORT, &size );

-----
Research is my purpose

| Сообщение посчитали полезным:

ne0n
Юзай эти функи:
ImageRVAToVa
ImageRVAToSection
ImageNTHeaders

-----
The truth is out of there...

| Сообщение посчитали полезным:

смотрите сорцы pedump (Matt Pietrek)
все вопросы отпадут

| Сообщение посчитали полезным:

ne0n пишет:
но я уже решил что буду делать RVAToFileOffset

RVAToFileOffset тебе придётся делать в любом случае, как ты иначе прочитаешь по адресу, на который указывает элемент таблицы? у тебя ж не "плоский" файл с одной сплошной секцией.

-----
EnJoy!

| Сообщение посчитали полезным:

всем спасибо во всем разобрался(но не полоностью буду курить доки) !

| Сообщение посчитали полезным: