还以为是 KillVxk 指点呢，呵呵。 不过你的想法确实够强的，暴搜整个文件外加搜索函数头部。 一般确实是通过已知找未知呀。

是啊，先尝试下不同方法的效果，然后选择最优的方法~~ 嘿嘿

崇拜楼主 好强哦

未导出的函数能自己实现就自己实现,或者从导出的函数搜. 直接搜函数头可能会被每个不同版本的补丁修改,所以兼容性非常差,临时解决方案还行.当初微软在函数头留下push堆和mov堆也有为patch考虑的.

我X,强烈鄙视MJ,用个红色的字体...

to gz1X: 从导出的函数搜也不是很稳定，有的安全软件恰好在关键的地方做了inline hook。另人郁闷至级。 比如： 前言: 微点怎么连 PsTerminateSystemThread 也inline hook，真无耻~ nt!PsTerminateSystemThread: 808aa35f 8bff mov edi,edi 808aa361 55 push ebp 808aa362 8bec mov ebp,esp 808aa364 64a124010000 mov eax,dword ptr fs:[00000124h] 808aa36a f6804802000010 test byte ptr [eax+248h],10h 808aa371 0f84ea300800 je nt!PsTerminateSystemThread+0x14 (8092d461) 808aa377 ff7508 push dword ptr [ebp+8] 808aa37a 50 push eax 808aa37b e8a2e9cf77 call f85a8d22 ; 被inline hook了 ; ; 本来是call nt!PspTerminateThreadByPointer (XXXXX),显然跳到了微点的处理 ; 函数中, 若从这里找未导出的 PspTerminateThreadByPointer就不爽了, 所以要换 ; 从其他的导出函数中搜索(前提是若你想调用PspTerminateThreadByPointer函数) ; -- sudami 08/03/16 ; 808aa380 5d

是呀,就是因为很容易被干扰.所以我都很排斥未导出函数的使用,自己有能力实现也就罢了,尤其是暴力搜索,几乎是应急方案.未导出,微软的一部分意思是:不稳定的随时可能被更改的.这样通用性就非常差了. 不过要是只是挖掘下或者流氓下,那大可以什么办法都试.嘿嘿.

加载一份内核暴力搜索应该可以把 难道你的加载代码不优美?

猪哇牛说的没错~~~ 问题早解决了。是特征码没找准，因为内核补丁的差异~~ =。=！