[原创]Windows系统程序设计之插入DLL和挂接API-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]Windows系统程序设计之插入DLL和挂接API

2006-6-12 03:47 29473

[原创]Windows系统程序设计之插入DLL和挂接API

北极星2003

2006-6-12 03:47

29473

查看主题内容

收藏・22

免费・7

打赏

最新回复 (58) ◀ 1 2 3 ▶
lennon 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	lennon 2006-6-14 13:50 26 楼 0 太好了,好文一定要顶
我爱罗雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	我爱罗 2006-6-15 11:16 27 楼 0 楼主为啥子? 我下下来的代码运行不起,还报错:cannot open include file 'res\IPPack,rc2' 而且软件运行的也不理想
北极星2003 雪币： 1852 活跃值： (504) 能力值： (RANK：1010 ) 在线值：发帖 86 回帖 1240 粉丝 11 关注私信	北极星2003 25 2006-6-15 11:51 28 楼 0 最初由我爱罗* 发布* 楼主为啥子? 我下下来的代码运行不起,还报错:cannot open include file 'res\IPPack,rc2' 而且软件运行的也不理想在上传附件的时候不小心把图标资源res文件夹删了，编译报错，一直按F4，把对应行注释掉就行了，不影响程序执行运行不理想很正常，这个小软件的目标是演示HOOK API 及插入DLL的实际应用，仅仅HOOK了send, sendto, recv, recvfrom四个函数，如果目标进程用其他的函数进行数据传输的话，就根本不起作用真正要效果好的话，要在驱动级别实现
Saver 雪币： 538 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 289 粉丝 0 关注私信	Saver 2006-6-15 22:08 29 楼 0 回完贴,然后开始仔细看
xiluoyou 雪币： 241 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 238 粉丝 1 关注私信	xiluoyou 2006-6-15 23:42 30 楼 0 顶一下，收藏慢慢学习！
xinix 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 117 粉丝 0 关注私信	xinix 2006-6-16 15:36 31 楼 0 不错如果论坛多几个北极就好了
Vegeta 雪币： 431 活跃值： (442) 能力值： ( LV12，RANK：530 ) 在线值：发帖 37 回帖 238 粉丝 1 关注私信	Vegeta 13 2006-6-18 10:19 32 楼 0 作得想个毕业设计，恐怕真是毕业设计的话老师没几个看得懂的。
我爱罗雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	我爱罗 2006-6-20 15:20 33 楼 0 好象,不能截获数据包
独孤无剑雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 51 粉丝 0 关注私信	独孤无剑 2006-6-21 05:42 34 楼 0 学习之中...............
我爱罗雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	我爱罗 2006-6-21 17:18 35 楼 0 版主:好象,不能截获数据包,我都调试了两天了, 我都快疯了.你能把调试好的,能截获数据包的程序发给我吗? 我的把它搞明白啊. 我的EMAIL:monk0123456@126.com
北极星2003 雪币： 1852 活跃值： (504) 能力值： (RANK：1010 ) 在线值：发帖 86 回帖 1240 粉丝 11 关注私信	北极星2003 25 2006-6-21 22:29 36 楼 0 最初由我爱罗* 发布* 版主:好象,不能截获数据包,我都调试了两天了, 我都快疯了.你能把调试好的,能截获数据包的程序发给我吗? 我的把它搞明白啊. 我的EMAIL:monk0123456@126.com 已经给你发了这个帖子的附件里也有
我爱罗雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	我爱罗 2006-6-22 11:11 37 楼 0 我写了一个简单的通讯程序，为什么不能捕获数据包了？为什么我运行这个程序的时候，并不是像你在贴子上演示的呢？我的邮箱不能发邮件了，你可以加我的ＱＱ吗？ＱＱ：２７９４０５２９０
iiiila 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	iiiila 2006-6-22 11:26 38 楼 0 不错，顶一下先。
北极星2003 雪币： 1852 活跃值： (504) 能力值： (RANK：1010 ) 在线值：发帖 86 回帖 1240 粉丝 11 关注私信	北极星2003 25 2006-6-22 12:24 39 楼 0 最初由我爱罗* 发布* 我写了一个简单的通讯程序，为什么不能捕获数据包了？为什么我运行这个程序的时候，并不是像你在贴子上演示的呢？我的邮箱不能发邮件了，你可以加我的ＱＱ吗？ＱＱ：２７９４０５２９０ HOOK_send.Hook ( "wsock32.dll", "send", (FARPROC)MY_send ) ; HOOK_recv.Hook ( "wsock32.dll", "recv", (FARPROC)MY_recv ) ; HOOK_sendto.Hook ( "wsock32.dll", "sendto", (FARPROC)MY_sendto ) ; HOOK_recvfrom.Hook ( "wsock32.dll", "recvfrom", (FARPROC)MY_recvfrom ) ; 注意这里，我HOOK的是wsock32.dll 而你的TcpServer用PE打开后没有wsock32.dll，只有win2_32.dll，函数库不同，所以也就是说HOOK失败这里我的软件写的也有漏洞，在CFEAHook失败时没抱错你的软件我这里不能编译 #include "../common/InitSock.h" 估计你在这里导入了win2_32.dll 试着让他导入wsock32.dll #include "winsock2.h" #pragma comment ( lib, "ws2_32.lib" ) HOOK_send.Hook ( "wsock32.dll", "send", (FARPROC)MY_send ) ; HOOK_recv.Hook ( "wsock32.dll", "recv", (FARPROC)MY_recv ) ; HOOK_sendto.Hook ( "wsock32.dll", "sendto", (FARPROC)MY_sendto ) ; HOOK_recvfrom.Hook ( "wsock32.dll", "recvfrom", (FARPROC)MY_recvfrom ) ; 或者你可以直接把wsock32.dll直接改成win2_32.dll 总之问题就在这里，知道了原因，至于怎么改都无所谓了由于我的失误，对你在学习时造成不必要的麻烦，深感谦意
bjaoyun 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	bjaoyun 2006-7-1 13:57 40 楼 0 好文章，学了很多东西
天涯浪人雪币： 214 活跃值： (40) 能力值： ( LV6，RANK：90 ) 在线值：发帖 15 回帖 125 粉丝 0 关注私信	天涯浪人 2 2006-7-1 15:18 41 楼 0 支持一下
netarmy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	netarmy 2006-7-1 23:23 42 楼 0 真是强人呀我要是会就好了
jipo400 雪币： 214 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 3 回帖 18 粉丝 0 关注私信	jipo400 2 2006-7-3 10:46 43 楼 0 强烈支持学习中...
torelax 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	torelax 1 2006-7-6 22:32 44 楼 0 支持楼主，好铁
lengie 雪币： 223 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 44 粉丝 0 关注私信	lengie 2006-7-7 14:30 45 楼 0 第一次看的时候,没看明白,所以没回贴今天看明白了点,所以回贴,做个记录点,嘻嘻
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 50 回帖 773 粉丝 2 关注私信	Aker 4 2006-7-7 15:49 46 楼 0 最初由 sbright* 发布* 大哥如果写文章太累，可以把自己可以发的代码发出来，写个大概说明就好．其他牛b的大虾们也支持一下啊，多发发你们的程序．强烈支持北极星，来，亲一个．．．．．
zhuliang 雪币： 1098 活跃值： (193) 能力值： (RANK：210 ) 在线值：发帖 36 回帖 401 粉丝 15 关注私信	zhuliang 5 2006-7-15 17:34 47 楼 0 最初由 prince* 发布* 北极星辛苦！
wangn 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	wangn 2006-7-22 05:40 48 楼 0 支持！下载学习学习
bookworm 雪币： 139 活跃值： (111) 能力值： ( LV8，RANK：130 ) 在线值：发帖 20 回帖 105 粉丝 0 关注私信	bookworm 3 2006-8-3 06:17 49 楼 0 1。一般的方法使用CreateRemoteThread()在目标进程中创建一个thread，让该thread来LoadLibrary(你的DLL)。到目前为止我在网上看到的该方法的实现代码都基本上雷同，一个共同的大前提是假定在你的process和目标process里，LoadLibrary(A/W)的entry point是一样的。因为LoadLibraryA/LoadLibraryW是kernel32.dll输出的，而该DLL一般而言在不同的进程的virtual memory space里是在同样的地方（不同的Windows版本倒是有可能不同），不太会被rebase。所以看看你自己的进程里LoadLibrary的起始地址，就可以假定目标进程的LoadLibrary也是同样的起始地址。 2。用GetProcAddress()可以得到API的起始地址。但kernel32.dll是可以被rebase的，如果你的进程或者目标进程里的该DLL ImageBase变了，你的代码插入程序不会有事情，创建的远程线程倒是会垮掉。 3。这里作者的代码，比如（5）封装HOOK API入口地址覆盖到CFEAHook类，是有bug的。你怎么知道要patch的函数入口点的头5个字节一定是一个指令？万一它的第一个指令是1个到4个字节呢？你要使你的方法尽量通用化，就不能作这个假定。可以参考微软的Detours (http://research.microsoft.com/sn/detours/)，看看它的entry point patching是如何做的。 4。API hook（SetWindowsHookEx）：该方法的前提是进程有UI，或者说有user32.DLL。对Console program是白搭。 5。Hook的方法很多，可以参考 http://www.codeproject.com/system/hooksys.asp 6。原文： “2、存在的难点由于IAT信息是在可执行文件初始化时经过PE加载器改写的，而不是原本的磁盘文件中的数据。问题就在这里，什么时候才是对IAT进行操作的最佳时机？PE加载器对IAT部分的改写是在什么时候完成的？如果仅仅创建挂起的进程，此时的加载器是否写入IAT信息？“ PE加载器在创建一个进程的时候，CreateProcess(...,CREATE_SUSPENDED, ...)，它会遍历程序的import table，把相关的DLL加载进来，更新IAT，然后先是运行该DLL的CRTDllMain()，接着是它的DllMain()。如果该DLL依赖其它的DLL，就先载入其它的DLL，有些类似C++里对象的创建，先做父类的工作（constructor），然后是子类。IAT就是这个时候更新的。一直等到主要的thread context等等资源分配完毕，然后PE Loader就ResumeThread(你的主线程的threadid)。到这个时候DLL里的export table基本上没有用了，因为主程序的IAT里已经有了具体的地址。以后程序运行过程中也不会去看DLL的Export Table，直接到Import Table里去查去了，然后jump。
jiangqixdu 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	jiangqixdu 2006-8-15 20:29 50 楼 0 下载来看看，还是源码好点
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

北极星2003

发帖

1240

回帖

1010

RANK

关注

私信

他的文章

关于软件设计大赛奖品发放问题

关于我们

联系我们

企业服务

看雪公众号

最新回复 (58) ◀ 1 2 3 ▶
lennon 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	lennon 2006-6-14 13:50 26 楼 0 太好了,好文一定要顶
我爱罗雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	我爱罗 2006-6-15 11:16 27 楼 0 楼主为啥子? 我下下来的代码运行不起,还报错:cannot open include file 'res\IPPack,rc2' 而且软件运行的也不理想
北极星2003 雪币： 1852 活跃值： (504) 能力值： (RANK：1010 ) 在线值：发帖 86 回帖 1240 粉丝 11 关注私信	北极星2003 25 2006-6-15 11:51 28 楼 0 最初由我爱罗* 发布* 楼主为啥子? 我下下来的代码运行不起,还报错:cannot open include file 'res\IPPack,rc2' 而且软件运行的也不理想在上传附件的时候不小心把图标资源res文件夹删了，编译报错，一直按F4，把对应行注释掉就行了，不影响程序执行运行不理想很正常，这个小软件的目标是演示HOOK API 及插入DLL的实际应用，仅仅HOOK了send, sendto, recv, recvfrom四个函数，如果目标进程用其他的函数进行数据传输的话，就根本不起作用真正要效果好的话，要在驱动级别实现
Saver 雪币： 538 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 289 粉丝 0 关注私信	Saver 2006-6-15 22:08 29 楼 0 回完贴,然后开始仔细看
xiluoyou 雪币： 241 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 238 粉丝 1 关注私信	xiluoyou 2006-6-15 23:42 30 楼 0 顶一下，收藏慢慢学习！
xinix 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 117 粉丝 0 关注私信	xinix 2006-6-16 15:36 31 楼 0 不错如果论坛多几个北极就好了
Vegeta 雪币： 431 活跃值： (442) 能力值： ( LV12，RANK：530 ) 在线值：发帖 37 回帖 238 粉丝 1 关注私信	Vegeta 13 2006-6-18 10:19 32 楼 0 作得想个毕业设计，恐怕真是毕业设计的话老师没几个看得懂的。
我爱罗雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	我爱罗 2006-6-20 15:20 33 楼 0 好象,不能截获数据包
独孤无剑雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 51 粉丝 0 关注私信	独孤无剑 2006-6-21 05:42 34 楼 0 学习之中...............
我爱罗雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	我爱罗 2006-6-21 17:18 35 楼 0 版主:好象,不能截获数据包,我都调试了两天了, 我都快疯了.你能把调试好的,能截获数据包的程序发给我吗? 我的把它搞明白啊. 我的EMAIL:monk0123456@126.com
北极星2003 雪币： 1852 活跃值： (504) 能力值： (RANK：1010 ) 在线值：发帖 86 回帖 1240 粉丝 11 关注私信	北极星2003 25 2006-6-21 22:29 36 楼 0 最初由我爱罗* 发布* 版主:好象,不能截获数据包,我都调试了两天了, 我都快疯了.你能把调试好的,能截获数据包的程序发给我吗? 我的把它搞明白啊. 我的EMAIL:monk0123456@126.com 已经给你发了这个帖子的附件里也有
我爱罗雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	我爱罗 2006-6-22 11:11 37 楼 0 我写了一个简单的通讯程序，为什么不能捕获数据包了？为什么我运行这个程序的时候，并不是像你在贴子上演示的呢？我的邮箱不能发邮件了，你可以加我的ＱＱ吗？ＱＱ：２７９４０５２９０
iiiila 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	iiiila 2006-6-22 11:26 38 楼 0 不错，顶一下先。
北极星2003 雪币： 1852 活跃值： (504) 能力值： (RANK：1010 ) 在线值：发帖 86 回帖 1240 粉丝 11 关注私信	北极星2003 25 2006-6-22 12:24 39 楼 0 最初由我爱罗* 发布* 我写了一个简单的通讯程序，为什么不能捕获数据包了？为什么我运行这个程序的时候，并不是像你在贴子上演示的呢？我的邮箱不能发邮件了，你可以加我的ＱＱ吗？ＱＱ：２７９４０５２９０ HOOK_send.Hook ( "wsock32.dll", "send", (FARPROC)MY_send ) ; HOOK_recv.Hook ( "wsock32.dll", "recv", (FARPROC)MY_recv ) ; HOOK_sendto.Hook ( "wsock32.dll", "sendto", (FARPROC)MY_sendto ) ; HOOK_recvfrom.Hook ( "wsock32.dll", "recvfrom", (FARPROC)MY_recvfrom ) ; 注意这里，我HOOK的是wsock32.dll 而你的TcpServer用PE打开后没有wsock32.dll，只有win2_32.dll，函数库不同，所以也就是说HOOK失败这里我的软件写的也有漏洞，在CFEAHook失败时没抱错你的软件我这里不能编译 #include "../common/InitSock.h" 估计你在这里导入了win2_32.dll 试着让他导入wsock32.dll #include "winsock2.h" #pragma comment ( lib, "ws2_32.lib" ) HOOK_send.Hook ( "wsock32.dll", "send", (FARPROC)MY_send ) ; HOOK_recv.Hook ( "wsock32.dll", "recv", (FARPROC)MY_recv ) ; HOOK_sendto.Hook ( "wsock32.dll", "sendto", (FARPROC)MY_sendto ) ; HOOK_recvfrom.Hook ( "wsock32.dll", "recvfrom", (FARPROC)MY_recvfrom ) ; 或者你可以直接把wsock32.dll直接改成win2_32.dll 总之问题就在这里，知道了原因，至于怎么改都无所谓了由于我的失误，对你在学习时造成不必要的麻烦，深感谦意
bjaoyun 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	bjaoyun 2006-7-1 13:57 40 楼 0 好文章，学了很多东西
天涯浪人雪币： 214 活跃值： (40) 能力值： ( LV6，RANK：90 ) 在线值：发帖 15 回帖 125 粉丝 0 关注私信	天涯浪人 2 2006-7-1 15:18 41 楼 0 支持一下
netarmy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	netarmy 2006-7-1 23:23 42 楼 0 真是强人呀我要是会就好了
jipo400 雪币： 214 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 3 回帖 18 粉丝 0 关注私信	jipo400 2 2006-7-3 10:46 43 楼 0 强烈支持学习中...
torelax 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	torelax 1 2006-7-6 22:32 44 楼 0 支持楼主，好铁
lengie 雪币： 223 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 44 粉丝 0 关注私信	lengie 2006-7-7 14:30 45 楼 0 第一次看的时候,没看明白,所以没回贴今天看明白了点,所以回贴,做个记录点,嘻嘻
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 50 回帖 773 粉丝 2 关注私信	Aker 4 2006-7-7 15:49 46 楼 0 最初由 sbright* 发布* 大哥如果写文章太累，可以把自己可以发的代码发出来，写个大概说明就好．其他牛b的大虾们也支持一下啊，多发发你们的程序．强烈支持北极星，来，亲一个．．．．．
zhuliang 雪币： 1098 活跃值： (193) 能力值： (RANK：210 ) 在线值：发帖 36 回帖 401 粉丝 15 关注私信	zhuliang 5 2006-7-15 17:34 47 楼 0 最初由 prince* 发布* 北极星辛苦！
wangn 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	wangn 2006-7-22 05:40 48 楼 0 支持！下载学习学习
bookworm 雪币： 139 活跃值： (111) 能力值： ( LV8，RANK：130 ) 在线值：发帖 20 回帖 105 粉丝 0 关注私信	bookworm 3 2006-8-3 06:17 49 楼 0 1。一般的方法使用CreateRemoteThread()在目标进程中创建一个thread，让该thread来LoadLibrary(你的DLL)。到目前为止我在网上看到的该方法的实现代码都基本上雷同，一个共同的大前提是假定在你的process和目标process里，LoadLibrary(A/W)的entry point是一样的。因为LoadLibraryA/LoadLibraryW是kernel32.dll输出的，而该DLL一般而言在不同的进程的virtual memory space里是在同样的地方（不同的Windows版本倒是有可能不同），不太会被rebase。所以看看你自己的进程里LoadLibrary的起始地址，就可以假定目标进程的LoadLibrary也是同样的起始地址。 2。用GetProcAddress()可以得到API的起始地址。但kernel32.dll是可以被rebase的，如果你的进程或者目标进程里的该DLL ImageBase变了，你的代码插入程序不会有事情，创建的远程线程倒是会垮掉。 3。这里作者的代码，比如（5）封装HOOK API入口地址覆盖到CFEAHook类，是有bug的。你怎么知道要patch的函数入口点的头5个字节一定是一个指令？万一它的第一个指令是1个到4个字节呢？你要使你的方法尽量通用化，就不能作这个假定。可以参考微软的Detours (http://research.microsoft.com/sn/detours/)，看看它的entry point patching是如何做的。 4。API hook（SetWindowsHookEx）：该方法的前提是进程有UI，或者说有user32.DLL。对Console program是白搭。 5。Hook的方法很多，可以参考 http://www.codeproject.com/system/hooksys.asp 6。原文： “2、存在的难点由于IAT信息是在可执行文件初始化时经过PE加载器改写的，而不是原本的磁盘文件中的数据。问题就在这里，什么时候才是对IAT进行操作的最佳时机？PE加载器对IAT部分的改写是在什么时候完成的？如果仅仅创建挂起的进程，此时的加载器是否写入IAT信息？“ PE加载器在创建一个进程的时候，CreateProcess(...,CREATE_SUSPENDED, ...)，它会遍历程序的import table，把相关的DLL加载进来，更新IAT，然后先是运行该DLL的CRTDllMain()，接着是它的DllMain()。如果该DLL依赖其它的DLL，就先载入其它的DLL，有些类似C++里对象的创建，先做父类的工作（constructor），然后是子类。IAT就是这个时候更新的。一直等到主要的thread context等等资源分配完毕，然后PE Loader就ResumeThread(你的主线程的threadid)。到这个时候DLL里的export table基本上没有用了，因为主程序的IAT里已经有了具体的地址。以后程序运行过程中也不会去看DLL的Export Table，直接到Import Table里去查去了，然后jump。
jiangqixdu 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	jiangqixdu 2006-8-15 20:29 50 楼 0 下载来看看，还是源码好点
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复