при отладке прикадного уровня call'ы выводятся как смещения, а не как названия функций апи:
call image00400000+0x116d (0040116d) чтобы было CALL<JMP.&KERNEL32.CreateFileA>
как сделать-то ?

| Сообщение посчитали полезным:

Symbols подгрузить:
www.microsoft.com/whdc/DevTools/Debugging/debugstart.mspx

| Сообщение посчитали полезным:

подгрузил символы с сервера как сказали --> тут <--, прописал переменные среды _NT_SYMBOL_PATH = SRV*с:\symbols*http://msdl.microsoft.com/download/symbols и путь к символам в самом отладчике, но вызов функций user32 kernel32 все еще отображается как у n1kt0. отлаживал простой крякми.
И еще не совсем понятно почему в одном случае модуль загружается с именем crackme, а другой с таким же именем как image00400000??

| Сообщение посчитали полезным:

http://www.securitylab.ru/analytics/453911.php

-----
Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes

| Сообщение посчитали полезным:

shiroko
!sym noisy
.symfix
.reload

| Сообщение посчитали полезным:

Внутри самих библиотек функции то отображаются как надо, а как заставить в самом экзешнике показывать нормальные названия, а не call [WndProc+0x74C] или call image00400000+0x116d (0040116d), хотя это явно библиотечные функции . Неужели мелкомягкие не могут сделать нормально чтоб все отображалось как в ольке symfix тоже не спасает

Добавлено спустя 34 минуты
в итоге получилось, хоть и довольно извратным путем через скрипт иды, генерящий карту имен, и загрузку через расширение addsym. В общем кому интересно, все --> тут<--

Добавлено спустя 49 минут
То есть, получается, для нормального вида функций в приложениях прикладного уровня особо нет необходимости скачивать символы раз они все равно отображаются только внутри системных библиотек? Или все же как-то можно обойтись без извращений с мапгеном через иду?

| Сообщение посчитали полезным:

shiroko пишет:
нет необходимости скачивать символы раз они все равно отображаются только внутри системных библиотек?

Может я и ошибаюсь, но такое впечатление, что вы не совсем понимаете что такое символы и зачем они.
Что такое "нормального вида функций в приложениях прикладного уровня"
(ring 3? user mode?)

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

plutos пишет:
(ring 3? user mode?)
все правильно. и раз не получается отобразить функций вида call !crackme.MessageBoxA вместо смещений относительно точки входа без наличия *.pdb самого приложения, толку от них. олька и ида как-то все грамотно показывает.

plutos пишет:
такое впечатление, что вы не совсем понимаете что такое символы и зачем они
возможно и не совсем

| Сообщение посчитали полезным:

видимо не до конца понимаю всю значимость символов, тем не менее прошу популярного объяснения каким образом можно добиться нормального отображения названия функций в любой экзехе... если такое в принципе предусмотрено средствами windbg. блин та на виртуалке софтайс даже показывает все адекватно в текстовом формате, а с этим мелкомягким отладчиком полный гемор

| Сообщение посчитали полезным:

shiroko
Без символов отлаживаемого приложения никаких деманглов не будет. Windbg работает с символами, они созданы для него и юзаются им. Видишь ли это во многом отладчик для разработчиков в первую очередь. Т.е. тебе нужен pdb приложения. Вызовы внутри системных дллок, их имена он возьмет тебе из символов этих системных длок. Можешь конечно нагуглить какой-нибудь адов скрипт, который тебе даст

call myapp!ExitProcess (00401020)
вместо
call image00400000+0x1020 (00401020)

| Сообщение посчитали полезным: