摘要： （内容摘选至《加密与解密第四版》） 一、通过干预导入表处理过程加载DLL1.静态修改EXE的导入表目录，新增或修改（微软进程Bound import table需要清空，）2.进程创建初期修改导入表目录（CreateProcess with suspend）3.DLL劫持，除了注册表KnownDLL 阅读全文