看了几个源代码 为什么不直接使用API解决方法

看了几个源代码 为什么不直接使用API
都是类似这样     间接   调用API
typedef   struct   _API   {
#ifdef   WIN32
//   Kernel32   Functions.   ----------------------
FARPROC(BOAPI*pGetProcAddress)   (   HMODULE   hModule,   LPCSTR   lpProcName   );
HANDLE(WINAPI   *pGetProcessHeap)   (   void   );
void   *(WINAPI   *pHeapAlloc)(   HANDLE   hHeap,   DWORD   dwFlags,   DWORD   dwBytes   );
HINSTANCE(WINAPI   *pLoadLibrary)   (   LPCTSTR   lpLibFileName   );
BOOL(WINAPI   *pFreeLibrary)(   HMODULE   hLibModule);

BOOL(WINAPI   *pCloseHandle)(   HANDLE   hObject   );
BOOL(WINAPI   *pCopyFile)(   LPCTSTR   lpExistingFileName,   LPCTSTR   lpNewFileName,   BOOL   bFailIfExists   );
BOOL(WINAPI*pCreateDirectory)   (   LPCTSTR   lpPathName,   LPSECURITY_ATTRIBUTES   lpSecurityAttributes   );
HANDLE(WINAPI   *pCreateFile)(   LPCTSTR   lpFileName,   DWORD   dwDesiredAccess,   DWORD   dwShareMode,   LPSECURITY_ATTRIBUTES   lpSecurityAttributes,   DWORD   dwCreationDisposition,   DWORD   dwFlagsAndAttributes,   HANDLE   hTemplateFile   );
HANDLE(WINAPI   *pCreateFileMapping)   (   HANDLE   hFile,   LPSECURITY_ATTRIBUTES   lpFileMappingAttributes,   DWORD   flProtect,   DWORD   dwMaximumSizeHigh,   DWORD   dwMaximumSizeLow,   LPCTSTR   lpName);
HANDLE(WINAPI   *pCreateMutex)(   LPSECURITY_ATTRIBUTES   lpMutexAttributes,   BOOL   bInitialOwner,   LPCTSTR   lpName   );
BOOL(WINAPI   *pCreateProcess)   (   LPCTSTR   lpApplicationName,   LPTSTR   lpCommandLine,   LPSECURITY_ATTRIBUTES   lpProcessAttributes,   LPSECURITY_ATTRIBUTES   lpThreadAttributes,   BOOL   bInheritHandles,   DWORD   dwCreationFlags,LPVOID   lpEnvironment,   LPCTSTR   lpCurrentDirectory,   LPSTARTUPINFO   lpStartupInfo,   LPPROCESS_INFORMATION   lpProcessInformation   );
HANDLE(WINAPI   *pCreateRemoteThread)   (   HANDLE   hProcess,   LPSECURITY_ATTRIBUTES   lpThreadAttributes,   DWORD   dwStackSize,   LPTHREAD_START_ROUTINE   lpStartAddress,   LPVOID   lpParameter,   DWORD   dwCreationFlags,     LPDWORD   lpThreadId   );
HANDLE(WINAPI   *pCreateThread)(   LPSECURITY_ATTRIBUTES   lpThreadAttributes,   DWORD   dwStackSize,   LPTHREAD_START_ROUTINE   lpStartAddress,   LPVOID   lpParameter,   DWORD   dwCreationFlags,   LPDWORD   lpThreadId);
BOOL(WINAPI   *pDuplicateHandle)   (   HANDLE   hSourceProcessHandle,   HANDLE   hSourceHandle,   HANDLE   hTargetProcessHandle,   LPHANDLE   lpTargetHandle,   DWORD   dwDesiredAccess,   BOOL   bInheritHandle,   DWORD   dwOptions   );
BOOL(WINAPI   *pDeleteFile)(   LPCTSTR   lpFileName   );
void(WINAPI   *pExitProcess)(   UINT   uExitCode   );
VOID(WINAPI   *pExitThread)(   DWORD   dwExitCode   );
void(WINAPI   *pEnterCriticalSection)   (   LPCRITICAL_SECTION   lpCriticalSection   );
BOOL(WINAPI   *pFileTimeToLocalFileTime)(   CONST   FILETIME   *lpFileTime,   LPFILETIME   lpLocalFileTime   );
BOOL(WINAPI   *pFileTimeToSystemTime)(     CONST   FILETIME   *lpFileTime,   LPSYSTEMTIME   lpSystemTime   );

BOOL(WINAPI*pFindClose)(   HANDLE   hFindFile   );
HANDLE(WINAPI   *pFindFirstFile)   (   LPCTSTR   lpFileName,   LPWIN32_FIND_DATA   lpFindFileData   );
BOOL(WINAPI*pFindNextFile)(   HANDLE   hFindFile,   LPWIN32_FIND_DATA   lpFindFileData   );
BOOL(WINAPI   *pFlushFileBuffers)   (   HANDLE   hFile   );
BOOL(WINAPI   *pFlushViewOfFile)   (   LPCVOID   lpBaseAddress,   DWORD   dwNumberOfBytesToFlush   );
LPTSTR(WINAPI   *pGetCommandLine)   (   VOID   );
BOOL(WINAPI   *pGetComputerName)   (   LPTSTR   lpBuffer,   LPDWORD   nSize   );
DWORD(WINAPI   *pGetCurrentDirectory)   (   DWORD   nBufferLength,   LPTSTR   lpBuffer   );
HANDLE(WINAPI   *pGetCurrentProcess)   (   VOID   );
DWORD(WINAPI   *pGetCurrentProcessId)   (   VOID   );
HANDLE(WINAPI   *pGetCurrentThread)   (   VOID   );
DWORD(WINAPI   *pGetCurrentThreadId)   (   VOID   );
BOOL(WINAPI   *pGetDiskFreeSpace)   (   LPCTSTR   lpRootPathName,   LPDWORD   lpSectorsPerCluster,   LPDWORD   lpBytesPerSector,   LPDWORD   lpNumberOfFreeClusters,   LPDWORD   lpTotalNumberOfClusters   );
UINT(WINAPI   *pGetDriveType)(   LPCTSTR   lpRootPathName   );
BOOL(WINAPI   *pGetExitCodeThread)   (   HANDLE   hThread,   LPDWORD   lpExitCode   );  
DWORD(WINAPI   *pGetFileAttributes)   (   LPCTSTR   lpFileName   );
DWORD(WINAPI   *pGetFileSize)(   HANDLE   hFile,   LPDWORD   lpFileSizeHigh   );
VOID(WINAPI   *pGetLocalTime)(   LPSYSTEMTIME   lpSystemTime   );
DWORD(WINAPI   *pGetLogicalDriveStrings)(   DWORD   nBufferLength,   LPTSTR   lpBuffer   );  
DWORD(WINAPI   *pGetModuleFileName)   (   HMODULE   hModule,   LPTSTR   lpFilename,   DWORD   nSize   );
HMODULE(WINAPI   *pGetModuleHandle)   (   LPCTSTR   lpModuleName   );
UINT(WINAPI   *pGetPrivateProfileInt)   (   LPCTSTR   lpAppName,   LPCTSTR   lpKeyName,   INT   nDefault,   LPCTSTR   lpFileName   );
DWORD(WINAPI   *pGetPrivateProfileSection)(   LPCTSTR   lpAppName,   LPTSTR   lpReturnedString,   DWORD   nSize,   LPCTSTR   lpFileName   );
DWORD(WINAPI   *pGetPrivateProfileSectionNames)             (     LPTSTR   lpszReturnBuffer,   DWORD   nSize,   LPCTSTR   lpFileName   );
DWORD(WINAPI   *pGetPrivateProfileString)(   LPCTSTR   lpAppName,   LPCTSTR   lpKeyName,   LPCTSTR   lpDefault,   LPTSTR   lpReturnedString,   DWORD   nSize,   LPCTSTR   lpFileName   );
BOOL(WINAPI   *pGetPrivateProfileStruct)(   LPCTSTR   lpszSection,   LPCTSTR   lpszKey,   LPVOID   lpStruct,   UINT   uSizeStruct,   LPCTSTR   szFile   );
VOID(WINAPI   *pGetSystemInfo)   (   LPSYSTEM_INFO   lpSystemInfo   );
UINT(WINAPI   *pGetSystemDirectory)   (   LPTSTR   lpBuffer,   UINT   uSize   );
VOID(WINAPI   *pGetSystemTime)   (   LPSYSTEMTIME   lpSystemTime   );
DWORD(WINAPI   *pGetTickCount)(   VOID   );

DWORD(WINAPI*pGetTempPath)(   DWORD   nBufferLength,   LPTSTR   lpBuffer   );

为什么不直接使用API?

[解决办法]
使用中间函数指针，可以有好几方面的好处，比如跨平台的代理函数实现，中间代理HOOK，以及自定义函数。同样一个东西，并不是操作系统API的就是最好的，最实用的。
[解决办法]
这是要在内存中搜索API入口。病毒和木马自己一般是不link到kernel32.dll这样的库的，都是运行起来之后，在内存里搜索API入口。
[解决办法]
使用如上的代码是为了实现所谓的“代码完全重定位”的目的，就是代码可以随意放置到合法的内存地址里面执行，克服普通ＰＥ文件的固定地址的束缚。主要用途是代码注入，无进程运行代码，多为蠕虫和木马所用。
　　一个普通的ＰＥ加载过程大约是：申请Pe文件建议的内存地址，沿此地址将磁盘中的Pe文件按内存对齐拷贝到内存中，按节属性初始化节，初始化导入函数表，跳入Pe入口执行之。
　　在一个普通的ＰＥ文件中正常调用一个ＡＰＩ要用到“导入函数表”这样一个结构，在代码中调用MessageBox()，程序并不直接调用ＭessageBox函数，而是调用该函数导入表中的FirstShrink，再由FirstShrink跳转到MessageBox()执行。这些都是固定地址方式下的调用，可以说是环环相扣，缺一不可。
　　假设把一段代码注入到“记事本”进程里面，代码如何知道导入表在哪儿？即使知道了，但导入表中没有注入代码的导入函数又该怎么办？
　　所以得使用楼主帖出来的API巢(API nest)。API nest可以解决上面提到的难题。
　　API巢初始化以后，在同一个进程内实现完全重定位的、地址无关的API调用。但代码注入如果到了另一个进程中，就得再次初始化API nest。
　　这些问题不是三言两语就说完的，有很多知识。


[解决办法]
他说的大概是这个：
.text:00401596 push ebx ; uType
.text:00401597 push offset Caption ; "SetLowerFilters "
.text:0040159C push offset Text ; "Install failed! "
.text:004015A1 push ebx ; hWnd
.text:004015A2 call ds:MessageBoxA ;要调用MessageBoxA，跳过去：

.idata:0041D420 ; int __stdcall MessageBoxA(HWND hWnd,LPCSTR lpText,LPCSTR lpCaption,UINT uType)
.idata:0041D420 extrn MessageBoxA:dword ; DATA XREF: sub_401310+292r
.idata:0041D420 ; sub_401310+314r ...

你可以看到PE文件的导入节其实也是和函数指针差不多的，因为编译这个exe的时候，编译器显然是不知道这个MessagBoxA的入口地址在哪里的，因此也就无法生成绝对地址，它只能做个标记，记录调用了哪个模块里的什么函数，装载器在把exe装入内存时会一并将用到的dll装入内存，这时候装载器会用MessageBoxA真实的地址去替换，你可以看到IDA用extrn MessageBoxA:dword 来修饰这个函数指针。这个dword存放的就是MessageBoxA的真实的绝对地址了。