1）如果通过指针你的意思是“模式”或“水印”，我想到的第一件事就是BlackMagic（阅读FindPattern函数）

2)

• 程序是具有特定结构（PE 文件格式）的文件，因此您必须将其作为数组读取，因为您要做的就是用范围替换字节
• 在获得开始偏移量和结束偏移量（分别是“开始”和“结束”的地址）后，您可以反汇编它们之间的字节，例如可以使用Distorm或Olly disasm（这个可以重新组装您的代码）
• 原始代码应该替换为类似的东西（不要忘记替换剩余的字节）

push offset dllName    
call LoadLibraryA    ; load the dll

push offset FunctionName     
push eax  
call GetProcAddress   ; obtain the address of the moved function

call/jmp eax ; call or jump to the moved function

3) 此时，反汇编的代码应该已经被混淆/加密了，并且由于它将被移动到另一个 dll 它应该在那里（在 dll 内）应该被编译回来，您可以选择手动组装它（在内存上）使用（例如）Olly disasm（您的程序应该手动生成一个需要大量工作的dll）或使用（例如）MASM32 编译它（到磁盘）

注意事项：

• 您应该检查移动函数内的地址是否未在其他地方调用/引用
• 如果存在重定位（即程序没有固定的映像库），则应在运行时更新被移动函数引用的地址（例如：由解密例程修补）
• 您应该了解更多有关 PE 结构的信息，因为您必须在项目中处理很多问题。
• 这是一些提示，而不是唯一的方法

答案是 LLVM。它允许加载程序集并对其进行操作。如果您拥有想要保护的程序的源代码，那就更容易了，因为您将能够通过 LLVM 编译它并拥有更高级别的代码操作。参见LLVM pass有一个在编译过程中修改二进制代码的例子