Замена не экспортируемой функции C++

Можно попробовать такую схему:

1. Вызываем GetProcAddress для экспортируемой функции (какой - неважно. Какая-нибудь в dll всяко есть. Главное - попасть в диапазон адресов dll), получаем указатель на экспортируемую функцию.
2. Прибавляем к этому указателю некое смещение, которое есть разница адресов между искомой функцией и экспортируемой в адресном пространстве dll.

Понятно, что для выполнения пункта 2 нужно знать это самое смещение. Как я понимаю, dll-ка собрана без отладочной информации. Следовательно, название искомой функции в dll нигде не фигурирует. Тогда есть такие идеи:

• Может быть (и скорее всего), эта функция в конце концов вызывается через какую-нибудь из экспортируемых функций. И вы знаете в какой примерно момент это делается. Тогда можно в основной программе вызвать такую экспортируемую функцию, и ходить отладчиком в окне CPU (где ассемблерный код показывается) и входить во все call'ы, пока не попадете в нужную функцию. Тогда смотрим адрес первой команды, и смещение считается тривиально. Даже если нужную функцию таким образом обнаружить сложно, число возможных кандидатов снижается.
• Может быть, вам известен точный фрагмент кода этой функции. Тогда можно поискать соответствующую последовательность байт в диапазоне адресов dll-ки.
• Последний вариант - вам известно лишь примерно, что эта функция делает. Тогда остается искать все команды ret в окне дизассемблера в диапазоне адресов dll, вверх от них пытаться найти начало функции (что может быть затруднительно из-за всяких переходов), затем отбросить те, которые экспортированы (и, следовательно, известно, что это не то), затем отбросить те, которые не похожи по выполняемым действиям. А для оставшихся кандидатов - пробовать перебором вставлять ваш код и смотреть, работает или нет.