- 找到PE文件的Image_Import_Descriptor结构
- 找到Original LAT和Real LAT.
- 通过要hook的函数的名字在Original LAT找到要hook的imported function在数组中的index.
- 保存并修改Real LAT在相应index的function address
(refer to John Robbins, BugsLayerUtil.dll)
Hooking Imported Functions by ordinal
原理和Hook Imported functions by name一样,只是是通过要hook的函数的ordinal在original LAT中找到index.
