пытаюсь распаковать арму, у Нарваи во 2-ой статье написано:

"Наша идея состоит в том, что мы должны разыскать то место, где происходит переадресация прыжков и вызовов в новую таблицу. Для этого берём ближайший вызов API"

далее следует кусок кода рядом с OEP с явно вызываемой API:
CALL DWORD PTR DS:[address]

а вот что у меня возле OEP:

0049CBC0 55 PUSH EBP
0049CBC1 8BEC MOV EBP,ESP
0049CBC3 83C4 F0 ADD ESP,-10
0049CBC6 B8 78C94900 MOV EAX,comps.0049C978
0049CBCB E8 6899F6FF CALL comps.00406538
0049CBD0 A1 AC0B4A00 MOV EAX,DWORD PTR DS:[4A0BAC]
0049CBD5 8B00 MOV EAX,DWORD PTR DS:[EAX]
0049CBD7 E8 BCF4FCFF CALL comps.0046C098
0049CBDC A1 AC0B4A00 MOV EAX,DWORD PTR DS:[4A0BAC]
0049CBE1 8B00 MOV EAX,DWORD PTR DS:[EAX]
0049CBE3 BA 20CC4900 MOV EDX,comps.0049CC20 ; ASCII "comps"
0049CBE8 E8 A3F0FCFF CALL comps.0046BC90
0049CBED 8B0D B8094A00 MOV ECX,DWORD PTR DS:[4A09B8] ; comps.004A1ECC
0049CBF3 A1 AC0B4A00 MOV EAX,DWORD PTR DS:[4A0BAC]
0049CBF8 8B00 MOV EAX,DWORD PTR DS:[EAX]
0049CBFA 8B15 105F4800 MOV EDX,DWORD PTR DS:[485F10] ; comps.00485F5C
0049CC00 E8 ABF4FCFF CALL comps.0046C0B0
0049CC05 A1 AC0B4A00 MOV EAX,DWORD PTR DS:[4A0BAC]
0049CC0A 8B00 MOV EAX,DWORD PTR DS:[EAX]
0049CC0C E8 1FF5FCFF CALL comps.0046C130
0049CC11 E8 7279F6FF CALL comps.00404588
0049CC16 0000 ADD BYTE PTR DS:[EAX],AL

Вопрос: где здесь найти ближайший вызов API?

| Сообщение посчитали полезным:

ссылкку на программу дай!

| Сообщение посчитали полезным:

GAMe ovER пишет:
ссылкку на программу дай!

программа большая, а без скачивания проги кто-нибудб подсказать может где искать?

| Сообщение посчитали полезным:

Заюзай поиск FF25 или FF15 (я имею ввиду в ольке).

| Сообщение посчитали полезным:

ёмасэ, search for intermodular calls
PS: рановато те арму заламывать, разберись для начала с отладчиком

-----
Недостаточно только получить знания:надо найти им приложение

| Сообщение посчитали полезным: