看不懂，先收藏，以后再看

user32.dll 读到内存中就能调用了？不需要进行内存映射吗，导入表都不用处理？
MeAddr=MeAddr-(DWORD)hMod;
这个是计算函数的相对偏移，和直接把文件映射到内存里的偏移是不一样的。

cntrump 说的 也是我好奇，你这个demo是怎么跑通的
这种方法 我分析过
只要获得加载dll的首地址
剩下破解就简单了
如果要实现，最少要注意二点
1.dll加载正常
2.自己调用正常

标题和内容，如何联系起来

楼主仿佛换头像了。。。。。。

PAGE_READWRITE

call过去无法执行，另外没有重定位

编译了无法正确运行，请楼主明示...

这个能正确运行。。

同问，没有重定位，如何运行成功？？

感谢啊，学到东西了

感觉像我们这些初级者有点看不懂。

偶然翻到这帖子，为了帮助那些不理解的人，忍不住废话几句。

我想楼主的本意是讲为什么在系统DLL的API地址处断不到想断的函数。
因为Themida/WinLicense对kernel32.dll、user32.dll和advapi32.dll进行了特别处理，所以断不下来。在其他保护软件中也可以看到类似方法。

至于示例代码就不要追究了，并不严谨！说穿了就是File Offset和VA的转换问题。

楼主用了：CreateFileA, VirtualAlloc, ReadFile；而YangCoCol更是“偷懒”：VirtualAlloc, memcpy。大家最关心的问题是：重定位，IAT等都没有处理，为什么它能跑起来？
那你需要想一想“重定位”到底发生了没有、IAT到底是Thunk还是Bind，就不难理解了。

Themida/WinLicense作为一个成熟的产品，可不能这样简单处理。
它用了三个API来载入文件映像：CreateFile，CreateFileMapping和MapViewOfFile，接下来完成必须做的初始化工作。剩下的各种转换等函数借用了"Matt Pietrek"的PEDUMP代码。

因为GetProcAddress不能用了，那么TMD/WL是怎么取得这三个系统DLL里API的地址呢？大概象这样(借用一下楼主的原型)：

FARPROC GetApiAddr(LPVOID lpFileImageBase, DWORD FuncNameHash, CHAR FuncNameFirstChar);

其中lpFileImageBase是DLL文件映像基址，在一个目标中可以断VirtualAlloc配合ImageSize得到，或者等目标跑起来后在"Memory Map"中按ImageSize很容易地找到。
FuncNameHash是它根据各API函数名计算的一个Hash，计算方法在各版本中基本相同。
FuncNameFirstChar是API函数名的第一个字符，用于限制搜索范围，缩短时间。

这样你可以自己生成一张对照表：FuncName, APIAddr, FuncNameHash 。断到你想断的任何一个API。我在以前关于WinLicense的帖子中曾经提过。

+1

kernel32如果载入到建议加载的位置，就不用重定位。某个api函数中需要用到的自己的函数，是由重定位解决的，需要用的导入函数，是由ff15或者ff25 xxxxxxx决定的，后面的xxxxxxxx是IAT中的位置，没载入到基址需要重定位，否则不需要。也就是说，只要kernel32载入到建议地址，以普通文件载入的kernel32的代码，使用的IAT就是真实的kernel32的IAT来跳转到ntdll的导出函数（kernel32只依赖ntdll）。
上面misthill大牛问题的答案是没有重定位，只是中转作用？
xp不知道kernel32是不是能保证载入到建议地址，win7是不能的，每次kernel32的位置都在变。而且win7每次virtuallloc的位置也不同。