联想题目名称EasyHOOK,猜测一定是sub_401220()这个函数 HOOK 了其他函数,点击进入该函数: 果然,这个函数逻辑清晰地找到了库函数WriteFile的地址,向byte_40C9BC中载入了JUMP指令的字节码 E9,计算了sub_401080距离WriteFile的第五个字节的距离。至于为什么是 5 个字节,那是因为 JUMP Address(32 bit) 指令有五个字节。