при отладке прикадного уровня call'ы выводятся как смещения, а не как названия функций апи: call image00400000+0x116d (0040116d) чтобы было CALL<JMP.&KERNEL32.CreateFileA> как сделать-то ?
Тебе отладочные символы нужны. Нужно слить с мелкософта или настроить дебугер, чтобы сам сливал. В хелпе есть.
короче так: Код (Text): 0:000> .sympath d:\symbols Symbol search path is: d:\symbols 0:000> .reload Reloading current modules ... 0:000> bp 401000 *** WARNING: Unable to verify checksum for image00400000 *** ERROR: Module load completed but symbols could not be loaded for image00400000 0:000> g Breakpoint 0 hit eax=00000000 ebx=7ffdb000 ecx=0012ffb0 edx=7c90eb94 esi=7c9118f1 edi=00011970 eip=00401000 esp=0012ffc4 ebp=0012fff0 iopl=0 nv up ei pl zr na pe nc cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 efl=00000246 image00400000+0x1000: 00401000 8bec mov ebp,esp 0:000> u image00400000+0x1000: 00401000 8bec mov ebp,esp 00401002 6a00 push 0 00401004 6880000000 push 80h 00401009 6a03 push 3 0040100b 6a00 push 0 0040100d 6a03 push 3 0040100f 68000000c0 push 0C0000000h 00401014 6851114000 push offset image00400000+0x1151 (00401151) 0:000> u image00400000+0x1019: 00401019 e84f010000 call image00400000+0x116d (0040116d) 0040101e 40 inc eax 0040101f 0f8425010000 je image00400000+0x114a (0040114a) 00401025 48 dec eax 00401026 50 push eax 00401027 6a00 push 0 00401029 50 push eax 0040102a e84a010000 call image00400000+0x1179 (00401179)
