恢复Hook的思想就是:首先从目标模块的导出表中获得函数真正地址,从导入表的桥1中找到导入函数名称与当前函数名称匹配的结构之后,修改桥2中的函数地址为原函数地址。
附上关键代码:
DWORD RecoverIATHook(const char *ModuleName, const char * FindFunctionName)
{
BOOL IsFind = FALSE;
DWORD OldProtect;
HMODULE ModuleHandle = LoadLibraryA(ModuleName