走一走看一看

呵呵，勇气可嘉！

这样写太简单了..

确实写得太简单了，PE里面的学问大着呢

路过看看

哈哈，PE的确是相当地复杂
下面从两个函数开始说起吧
HMODULE LoadLibrary(
  LPCTSTR lpFileName   // file name of module
);
返回值是啥？msdn文档上面这么说
“If the function succeeds, the return value is a handle to the module.”
如果你仅仅知道返回值是一个模块句柄，那么你被蒙蔽了，只知其一，不知其二。
让我们再来研究一下，HMODULE这个值代表什么
Debug一下程序，你会惊奇地发现，他就是DLL在进程中的加载地址。呼呼，再来
回想一下DLL里面的导出函数（一般在Def文件中定义），我们用VC-Depends可以很容易
看到DLL中的导出函数，以及导出函数在相对地址（相对于DLL加载地址的偏移量）。

最后，我们再来看看DLL显示加载时，一般需要配合使用的函数
FARPROC GetProcAddress(
  HMODULE hModule,    // handle to DLL module
  LPCSTR lpProcName   // function name
);

返回值是啥，相信，看了上面的说明，不说，你也已经明白了，是函数的入口地址，是的。

上面既然已经提到了DLL的显示加载，那么肯定还有DLL的隐士加载。下面就列举一下他们的区别吧
1）如果一个程序采取隐士加载DLL，万一有一个DLL找不到的话，那就不好意思了，你的程序无法被加载；相反地，采用显示加载DLL，就不会存在这个问题，因为他是在运行中加载的，这样还会带来一个好处，就是程序的加载速度会快一点。
2）隐士加载DLL，需要DLL的Lib文件以及导出函数的原型说明。

说了半天，貌似这些和PE的内容没有关系，别急，你想下VC-Depends是如何获知DLL中的导出函数和RVA（相对偏移地址）的呢？ 那就下次揭开面纱吧。

附件中提供了VC-Depends工具供下载。

上传的附件：

• VC-Depends.zip （442.46kb，14次下载）

简单明了！！！