告别硬编码-发个获取未导出函数地址的Dll及源码

还在为找内核未导出函数地址而苦恼嘛？
还在为硬编码通用性差而不爽吗？
还在为暴搜内核老蓝屏而痛苦吗？
请看这里：

最近老要用到内核未导出的函数及一些结构，不想再找特征码了，准备到网上找点符号文件解析的代码抄抄，也玩玩符号文件解析获取未导出函数，可惜资料寥寥无
几，下了一些代码，发觉编译后问题不断，有的编译通过了却取不到任何地址，弄了半天白弄了，于是静下心来看dbghelp的说明文件（中文的都木有），发
觉dbghelp用起来很不爽，由于版本太多，又是32位和64位什么的，最要命的是dbghelp的说明文件里所有升级了的函数一律找不到旧函数的说明
了，加之编译器里包含的相关文件版本不一，里面的函数用起来经常出现莫名其妙的问题，我估计也就是网上抄来的代码在自己机子上不能用的原因吧。于是自己写
了个Dll，放几个接口，保证在其他电脑上也可用。

先说下思路：
1、InitSymHandler（进行一些初始化）
1.1、先创建一个目录 symsrv.yes文件，没这个symsrv.dll不会自动下载符号文件
1.2、取自己进程句柄，用GetCurrentProcess取的没用，原因不明，网上的代码很多用这个，但我用死活不行
1.3、设置符号文件目录，调用SymInitialize进行初始化

2、LoadSymModule（加载符号文件）
2.1、使用SymGetSymbolFile来取得符号文件，如果搜索路径没有这个文件，那么将从微软服务器下载，然后调用SymLoadModule64加载它
2.2、路径设置如：srv* xxxx *http://msdl.microsoft.com/download/symbols

3、GetSymByName（获取未导出函数或变量地址）
3.1、上面2步好了后第一次运行时会下载符号文件，要等一会（机子一定要保持联网- - 当我白说），下载好后以后运行就快了
3.2、GetSymByName会调用SymGetSymFromName根据函数名称获取其地址，我用网上说的EnumSyms怎么也不行，不是调用失败就是得到的数据是0，蛋疼不已，不得已从dbghelp翻了这个函数出来了

4、CloseSym
不需要符号文件了后调用这个函数把符号文件打开的一些句柄什么的关闭，退出，没什么好说的

调用形式在SymbolAnalyzeDll.inc里已经定义了，用汇编的话直接包含就行了，其他自行改改就好，暂时不支持64位，虽然里面用的都是
64位的函数。折腾了1天多被莫名其妙的各种问题弄得筋疲力尽，结果弄了个这么个东西，离我的设想还好远，源码也附上，有兴趣的朋友可在此基础上增加更多
功能，暂时不想写了，所以有更好的版本记得发给楼主我也用用。

测试程序和调用示例都包含在附件里了，注意里面的ModuleBase_win32k内核基址我硬编码的，这个要自己改，ring3下怎么获取内核文件基
址还没实践过，内核下遍历下就可以了，所以就懒的写了，不过不传入内核基址也没关系，只不过返回的是相对基址的偏移，然后+下基址也没问题。

PS：如果网络不好可能会调用失败

源码-Dll-测试程序(更新了下，发现CloseSym有个错误，现在更新了调用LoadSymModule的ModuleBase为0也可以返回正确的地址，而不是偏移)：

http://pan.baidu.com/share/link?shareid=4223498672&uk=3895584076