資料目錄（Data Directory）有16個_IMAGE_DATA_DIRECTORY結構體元素，該結構體陣列是可選PE頭中最後一個成員。這十六個元素分別儲存了不同資訊，分別是：匯入表、匯出表、資源、異常資訊、安全證書、重定位表、除錯資訊、版權所有、全域性指標、TLS、載入配置、繫結匯入、IAT、延遲匯入、COM資訊、最後一個保留未使用。和程式執行時息息相關的表有：匯出表、匯入表、重定位表、IAT表的燈，這幾種也是PE解析中重點研究的幾張表。

typedef struct _IMAGE_DATA_DIRECTORY{
    DWORD   VirtualAddress;
    DWORD   Size;
 

} IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY;

該結構體標記了各個表（元素）在記憶體中的VirtualAddress與Size。VirtualAddress是記憶體中的偏移地址，我們要直接在檔案中根據VirtualAddress找到對應的表，就需要進行判斷。判斷VirtualAddress在哪個節，並且計算在節中的偏移量，即RVA->FOA的轉換。

1、匯出表基本結構：

根據_IMAGE_DATA_DIRECTORY結構體陣列的第1個元素索引處匯出表。一般情況下，dll的函式匯出供其他人使用，exe將別人的dll的函式匯入執行。
所以，一般.exe沒有匯出表（但是並非說.exe一定沒有匯出表）。

匯出表結構：

typedef struct _IMAGE_EXPORT_DIRECTORY {
    DWORD   Characteristics;    //未使用
    DWORD   TimeDateStamp;      //時間戳
    WORD    MajorVersion;       //未使用
    WORD    MinorVersion;       //未使用
    DWORD   Name;               //指向改匯出表文件名字串
    DWORD   Base;               //匯出表的起始序號
    DWORD   NumberOfFunctions;  //匯出函式的個數(更準確來說是AddressOfFunctions的元素數，而不是函式個數)
 

    DWORD   NumberOfNames;      //以函式名字匯出的函式個數
    DWORD   AddressOfFunctions;     //匯出函式地址表RVA:儲存所有匯出函式地址(表元素寬度為4，總大小NumberOfFunctions * 4)
    DWORD   AddressOfNames;         //匯出函式名稱表RVA:儲存函式名字串所在的地址(表元素寬度為4，總大小為NumberOfNames * 4)
    DWORD   AddressOfNameOrdinals;  //匯出函式序號表RVA:儲存函式序號(表元素寬度為2，總大小為NumberOfNames * 2)
} IMAGE_EXPORT_DIRECTORY, *PIMAGE_EXPORT_DIRECTORY;

注意：
裡面的地址均是RVA，而如果我們不想轉換成ImageBuffer就一定要進行RVA->FOA轉換，根據FOA直接在FileBuffer中尋找匯出表。每個dll都有一個匯出表。而每個匯出表有三個子匯出表(地址AddressOfFunctions、名字AddressOfNames、序號AddressOfOrdinals)。NumberOfFunctions是函式序號最大值與最小值之間的差值，NumberOfNames是函式以名字匯出的個數，二者可以不一樣大。一個函式必定有地址，但不一定有名字(如果是以無名字的方式匯出，eg：func @12 NONAME)。
我們自定義一個dll庫，在匯出時採用.def檔案的方式匯出：

//dll.def
EXPORTS
Plus    @1          
Sub     @3 NONAME   
div     @5 NONAME   
mul     @6  

則即解析得到的資訊如下（“——–”代表沒有名字，Ordina顯示的值與記憶體裡的值差一個Base，因為在用程式碼進行解析時已經把Base算過了，而記憶體中沒有動）：

Offset to Export Table:[0002DF10]
    Characteristics:       [00000000]
    TimeDateStamp:         [59945264]
    MajorVersion:          [0000]
    MinorVersion:          [0000]
    NameAddr:              [0002DF5C]
    NameString:            [dll.dll]
    Base:                  [00000001]
    NumberOfFunctions:     [00000006]
    NumberOfNames:         [00000002]
    AddressOfFunctions:    [0002DF38]
    AddressOfNames:        [0002DF50]
    AddressOfNameOrdinals: [0002DF58]
    Ordina  func_FOA    name_FOA    FunctionName
    0001    00001005    0002DF68    plus
    0003    00001019    --------    --------
    0005    00015060    --------    --------
    0006    00001014    0002DF64    mul

匯出的函式有兩個函式我們宣告為noname，故其在匯出表中不存在名字。則其匯出表的NumberOfNames = 2，NumberOfFunctions = （6-1+1） = 6。即地址表長度為6寬度為4，Size為24；名字表長度為2，寬度為4，Size為8；序號表長度為2，寬度為2，Size為4。對應的記憶體圖如下（名字表的地址是按照從小到大排的，地址表有與我們.def中指定了序號，因此是亂序的，如果不指定，編譯器自動分配的一般也是有序的）：

雖然匯出時div、sub沒有序號與名字，但是二者是有地址的。並且由於序號計算地址表時，地址表中有些值沒有對映，則填充為0。而檔案中如下所示（匯出表在檔案中開始地址0002DF10）：

①匯出表中AddressOfFunction指向的地址表大小根據 NumberOfFunctions 決定:地址表大小 = NumberOfFunctions * 4；
②而AddressOfNames指向的名字表大小不由 NumberOfFunctions 決定，而由NumberOfNames決定:名字表大小 = NumberOfNames * 4；
③AddressOfNameOrdinals指向的序號表中的值是非準確的，應該均加上Base才是真正的序號(Base等於序號表中最小的值)。而序號表大小 = NumberOfNames * 2。
④地址表可能大於等於名字表，也有可能小於名字表，因為一個函式可能沒有名字，也可能有多個名字。但是一般情況下，名字表均不會大於地址表。並且一個函式必然有地址，不一定有名字，名字表和序號表一一對應。

2、匯出表解析：

知道一個函式名字func，如何找到其在PE檔案中的地址？步驟（根據三張子表查詢）：

①在名字表遍歷RVA地址，轉換成FOA地址，然後根據FOA比較FOA指向的字串與func是否相等，不相等則判斷下一個。
②如果相等則獲取到其在名字表中的索引(下標)，根據該索引獲取對應的序號表中同一下標索引到的序號值value。
③value作為地址表的索引，索引到的值即為func()的地址。
也就是我們上面圖中所描述的。

RVA->FOA的轉換函式如下：

//輸入RVA（記憶體相對偏移地址），返回FOA（檔案偏移地址）
DWORD PETool::RVAToFOA(DWORD imageAddr)
{
    /*
     * 相對虛擬地址轉檔案偏移地址
     * ①獲取Section數目
     * ②獲取SectionAlignment
     * ③判斷需要轉換的RVA位於哪個Section中(section[n])，
     * offset = 需要轉換的RVA-VirtualAddress，計算出RVA相對於本節的偏移地址
     * ④section[n].PointerToRawData + offset就是RVA轉換後的FOA
    */

    if(imageAddr > imageSize){
        printf("RVAToFOA in_addr is error!%08X\n",imageAddr);
        exit(EXIT_FAILURE);
    }
    if(imageAddr < section_header[0].PointerToRawData){
        return imageAddr;//在頭部（包括節表與對齊）則直接返回
    }
    IMAGE_SECTION_HEADER * section = section_header;
    DWORD offset = 0;
    for(int i = 0; i < sectionNum; i++){
        DWORD lower = section[i].VirtualAddress;//該節下限
        DWORD upper = section[i].VirtualAddress+section[i].Misc.VirtualSize;//該節上限
        if(imageAddr >= lower && imageAddr <= upper){
            offset = imageAddr - lower + section[i].PointerToRawData;//計算出RVA的FOA
            break;
        }
    }
    return offset;
}

匯出表的解析實現如下（省略檔案到記憶體的讀入）：

void PETool::print_ExportTable()
{
    fprintf(fp_peMess, "匯出表(export table):\n");
    if(dataDir[0].VirtualAddress == 0){
        fprintf(fp_peMess, "\t不存在匯出表!\n");
        return;
    }
    DWORD offset = RVAToFOA(dataDir[0].VirtualAddress);
    IMAGE_EXPORT_DIRECTORY * exportTb = (IMAGE_EXPORT_DIRECTORY * )(pFileBuffer + offset);

    fprintf(fp_peMess, "\tOffset to Export Table:[%08X]\n",dataDir[0].VirtualAddress);
    fprintf(fp_peMess, "\tCharacteristics:       [%08X]\n", exportTb->Characteristics);
    fprintf(fp_peMess, "\tTimeDateStamp:         [%08X]\n", exportTb->TimeDateStamp);
    fprintf(fp_peMess, "\tMajorVersion:          [%04X]\n", exportTb->MajorVersion);
    fprintf(fp_peMess, "\tMinorVersion:          [%04X]\n", exportTb->MinorVersion);
    fprintf(fp_peMess, "\tNameAddr:              [%08X]\n", exportTb->Name);
    fprintf(fp_peMess, "\tNameString:            [%s]\n", pFileBuffer + RVAToFOA(exportTb->Name));
    fprintf(fp_peMess, "\tBase:                  [%08X]\n", exportTb->Base);
    fprintf(fp_peMess, "\tNumberOfFunctions:     [%08X]\n", exportTb->NumberOfFunctions);
    fprintf(fp_peMess, "\tNumberOfNames:         [%08X]\n", exportTb->NumberOfNames);
    fprintf(fp_peMess, "\tAddressOfFunctions:    [%08X]\n", exportTb->AddressOfFunctions);
    fprintf(fp_peMess, "\tAddressOfNames:        [%08X]\n", exportTb->AddressOfNames);
    fprintf(fp_peMess, "\tAddressOfNameOrdinals: [%08X]\n", exportTb->AddressOfNameOrdinals);

    //列印匯出表
    fprintf(fp_peMess, "\n\tOrdina\tfunc_FOA\tname_FOA\tFunctionName\n");
    DWORD * addrFunc = (DWORD *)(pFileBuffer + RVAToFOA(exportTb->AddressOfFunctions));
    DWORD * addrName = (DWORD *)(pFileBuffer + RVAToFOA(exportTb->AddressOfNames));
    WORD * addrOrdi = (WORD *)(pFileBuffer + RVAToFOA(exportTb->AddressOfNameOrdinals));

    //Base--->NumberOfFunctions
    DWORD i, j;
    for(i = 0; i < exportTb->NumberOfFunctions; i++){//匯出時序號有NumberOfFunctions個
        if(addrFunc[i] == 0){
            continue;//地址值為0代表該序號沒有對應的函式，是空餘的
        }
        for(j = 0; j < exportTb->NumberOfNames; j++){//序號表序號有NumberOfNames個
            if(addrOrdi[j] == i){//序號表的值為地址表的索引
                fprintf(fp_peMess, "\t%04X\t%08X\t%08X\t%s\n", i + exportTb->Base, addrFunc[i], addrName[j], pFileBuffer + addrName[j]);
                break;
            }
        }
        //存在addrOrdi[j]時,i(索引)等於addrOrdi[j](值),不存在，則i依舊有效,i+Base依舊是序號
        if(j != exportTb->NumberOfNames){
            continue;//在序號表中找到
        }
        else{//如果在序號表中沒有找到地址表的索引，說明函式匯出是以地址匯出的，匿名函式
            fprintf(fp_peMess, "\t%04X\t%08X\t%s\t%s\n", i + exportTb->Base, addrFunc[i], "--------", "--------");
        }
    }
}