Есть вот такой код: Вызывается следующим образом : Код (Text): sub_BCA8505 sub_BCA8505 proc near sub_BCA8505 sub_BCA8505 var_18= dword ptr -18h sub_BCA8505 var_14= dword ptr -14h sub_BCA8505 var_10= dword ptr -10h sub_BCA8505 var_C= dword ptr -0Ch sub_BCA8505 var_8= dword ptr -8 sub_BCA8505 var_4= dword ptr -4 sub_BCA8505 arg_0= dword ptr 8 sub_BCA8505 sub_BCA8505 push ebp sub_BCA8505+1 mov ebp, esp sub_BCA8505+3 sub esp, 18h sub_BCA8505+6 and [ebp+var_4], 0 sub_BCA8505+A push ebx ; save ebx sub_BCA8505+B mov ebx, [ebp+arg_0] sub_BCA8505+E lea eax, [ebp+var_18] sub_BCA8505+11 push eax ; first param sub_BCA8505+12 lea eax, [ebp+var_14] sub_BCA8505+15 push eax ; second param sub_BCA8505+16 lea eax, [ebp+var_10] sub_BCA8505+19 push eax sub_BCA8505+1A push ebx sub_BCA8505+1B call getPeInfo sub_BCA8505+20 add esp, 10h sub_BCA8505+23 test eax, eax sub_BCA8505+25 jz loc_BCA8648 Как я понял: 1. Проверка на 'MZ ' 2. Проверка на 'PE ' 3. в agv4 - ptr to PE [ mov [edx],eax ] 4. Опять проверка на 'PE ' Дальше я не понял. Реверсер я без опыта, поэтому не серчайте P.S. Как в IDA Pro 5.5 сделать так, чтобы в окне стека показывалось значение из ESP ? ( EBP ) А то стоит как мертвый. UPDATE #1 Код (Text): getPeInfo+46 xor eax, eax getPeInfo+48 inc eax getPeInfo+49 pop ebp getPeInfo+4A ret Функция возвращает BOOL
