Спасибо за пример, я его посмотрел.
Но как я понимаю он найдёт только одно вхождение функции в таблицу импорта и заменит его ?
так какпосле замены там стоит goto FINISHED;

В связи с чем у меня возникает вопрос нормально ли то что адресс функции в таблице импорта может встречаться несколько раз ?
к примеру у меня находиться адресс функции CreateFileA (да и остальных функций) несколько раз (5-9) в таблице импорта. Причём по разным адрессам само собой.
К примеру адресс функции CreateFileA (7c801a28), с которой у меня и возникает проблема, встречается по адресам (программка notepad.exe (WinXP) ):
77DD10F8
77C111A4
77F61198
6F88108C
77121230
200887CC
76C9108C
328AB350 — при записи сюда программка вылетает, хотя я устанавливаю PAGE_READWRITE (успешно), а было PAGE_READONLY.

Другие функции заменяются успешно и среди них тоже есть такие маленькие адреса как последний и даже меньши, например 010010C8 (для LoadLibraryW)

может можно заменять только один адресс ? или же не менять просто последний (хардкодно)