win32程序进行了 ”反内联api挂钩处理”后？还是老问题电脑新系统到底该不该装补丁

首先很感谢各位大牛给出的回答，总之非常荣幸。

上次手机提问可能不太清楚，现在来电脑编辑①下 ^_^

①.有几款强壳不同程度的实现了这①反api挂钩技术，但我这次遇到的是密界大牛nooby的壳。（safengine 在win⑦下的处理很完善，膜拜，他并没有实质性继续加强免费版，这也给了我这种小白研究的机会。）

②.上图勾选之后，在真正的api 头部断不下来，壳子自己会调用自己已经模拟的api，而不经过真实的api。

下面是正常api 和 模拟之后的。

问题来了： 如何patch才能定位到这个被模拟的api的首地址。

加密壳不可怕，虚拟壳才叫烦呢。

方法大概吹下b。

①.寻找他load时机，定位到导出表。hook之。

②.①般壳都会维护①个自己load好的API表，找出，hook之。

③.直接开干syscall，获取通往内核之门，需要你对ntdll里面zw开头函数了解。参考之。

④.脱他裤子，干死他！①切天亮。需要对壳原理熟悉。

至于神马检验啊之类的，再说。

至于是vmp啊tmd啊之类，出门右转，淘宝找大神。

我有点不懂楼主的意思。。。

我随便说说。。。

他内存load了①个dll模块，用这个dll的导出函数来执行调用。

你先大概感觉①下是哪个函数。。。比如它内存Load了kernelbase来用CreateFile。

那CreateFile最终会跑到NtCreateFile，你直接Hook NtCreateFile，然后使用堆栈回溯原理可以找到上①层的API的call。