C#如何去遍歷一個由C++或E語言編寫的本地DLL導出函數呢 不過在這里我建議對PE一無所知的人 

你或許應先補補這方面的知識，我不知道為什么PE方面的 應用在C#中怎么這么少，我查閱過相關

C#的知識大概只見一個人寫過關于PE的應用 還只是從PE信息中判斷執行文件是X86還是X64方式

編譯，難道C#程序員真的很差 真的只能會點asp.net / MVC？想想看雪論壇那些玩inline-asm / 

inline-hook的牛牛 真是感到有很大差距 不過不論什么語言 在我看來其實都差不多 重點在于人是否

有心。雖然我不敢保證C#可以嵌入動態匯編(auto-asm)但是我可以保證C#可以做inline-hook雖然會

的人比較少，不過也還好，至少C#程序員不會是一群渣渣。不過我在寫下述代碼時，可是累得緊 寫

結構體部分有些麻煩 而且C#與C++有些不同 當然也可以動態偏移地址搞定不過那個有些麻煩了，你

想推敲地址可不是那么好玩的事情，可能你自己推敲半天結果發現你推敲錯了，那種方法用在結構體

層次較少的情況下的確可以提升逼格 反正別人看不懂就好嘛？ 呵呵。下面的代碼需要在X86的環境下

使用主要在于該代碼中使用的PE信息全是32位的結構體而非64位的PE信息結構體 所以需要X86環境

不過不論是X86還是X64方法都是相等的，只是兩者的結構體與對稱不太一樣而已。

PE格式，是微軟Win32環境可移植執行文件如(exe / sys / dll / vxd / vdm)等都是標準的文件格式

PE格式衍生于VAX / VMS上的COFF文件格式，Portable是指對于不同的Windows版本和不同的

CPU類型上PE文件的格式是一樣的，或許CPU不一指令與二進制編碼不一，但是文件中各種東

西的布局是一至的。

PE文件中第一個字節是MS-DOS信息頭即IMAGE_DOS_HEADER與IMAGE_NT_HEADER中包

含許多PE裝載器用到。

包含 入口點 Entry Point 

文件偏移地址 File Offset

虛擬地址 Virtual Address(VA)

基地址 Image Base

相對虛擬地址 Relative Virual Address(RVA)

公式：RVA (相對虛擬地址) = VA(虛擬地址) - Image Base (基地址)

文件偏移地址和虛擬地址轉換

在X86系統中，每個內存頁的大小是4KB

文件偏移地址 File Offset = RVA(相對虛擬地址) - ΔK

文件偏移地址 File Offset = VA(虛擬地址) - Image Base (基地址) - ΔK

詳細解釋內容請參考百度百科，反正你想真正理解還需要自己去研究PE文件

IMAGE_NT_HEADERS在MS-DOS信息頭后面它是標準的Win32執行文件信息頭，其中包含了

導入的函數表，導出函數表，資源信息表、CLR運行時頭，IAT、TLS表、包括調試信息 等等

我們現在要做的就是獲取在DLL中導出的函數名，而DLL是屬于標準Win32執行文件中的一種

那么我們則必須要獲取到IMAGE_NT_HEADERS結構，實際上需要定位NT結構是很簡單的，

因為在規定中NT信息頭在DOS信息頭后面，即IMAGE_DOS_HEADER.e_lfanew +  IMAGE_DOS_HEADER

所以你會看到我在代碼中有這樣一句話IntPtr psNt32pe = (IntPtr)(sDos32pe.e_lfanew + (long)psDos32pe);

IMAGE_OPTIONAL_HEADER可選映像頭是一個可選結構，但是IMAGE_FILE_HEADER結構不滿足PE文件

需求定義的屬性，因此這些屬性在OPTIONAL結構中定義，因此FILE+OPTIONAL兩個結構聯合起來 才是一

個完整的PE文件結構，在其中包含了很多重要的信息字段 如 AddressOfEntryPoint、DataDirectory、Subsystem

不過提到DataDirectory我想說一下，在C#中不好定義所以在代碼中該字段換了另一種方式定義，DataDirectory

默認是有16個IMAGE_DATA_DIRECTORY的尺寸，所以在代碼中你可以看到有很多該類型的定義。它們則是表

示DataDirectory中信息IMAGE_DIRECTORY_ENTRY_EXPORT導出表 我們現在只需要獲取它的信息，在這里

我們需要用到ImageRvaToVa(相對虛擬地址到虛擬地址)有人是這樣理解的， 物理地址到虛擬地址 不過原來我在

理解時這個地方也是小小糾結了一番，不過后來則釋然了。ImageRvaToVa(NT_H, DOS_H, RVA, RvaSection);

IMAGE_DATA_DIRECTORY中包含兩個字段，一個VirtualAddress(RVA)另一個為Size(尺寸)獲取到結構體中的

RVA但是這個地址我們不管怎么轉換都沒法使用，對的因為提供給我的地址根本沒法用 那么我們則需要把RVA

轉換為VA利用上面提到函數，只有默默的感謝微軟一番 呵呵，當轉換后會得到IMAGE_EXPORT_DIRECTORY

在這里我需要提示一下大家，不是每個DataDirectory包含的RVA對應的結構都是EXPORT每個都有自己獨立的

解釋結構，不要搞混了 不然肯定會飛高的。

我們需要IMAGE_EXPORT_DIRECTORY中NumberOfNames(函數名總數)與AddressOfNames(函數名地址)

兩個字段中的內容，不過AddressOfNames中包含的是相對虛擬地址RVA，所以我們需要做一次轉換，會返回有

效char**的指針前提你提供的數據有效否則返回NULL，由于C#中你懂的char占兩個字節，即char=wchar_t那么

我們查看指針中的數據肯定會有問題DLL導出函數名全部是Ascii編碼，所以為了方便在C#專用干脆IntPtr方便通過

Marshal進行轉換最后只是進行一個資源釋放的操作好了基本就是這個樣子剩下的還需要大家自己去理解多說無益