Исследую dll, в IDA вижу такое:
mov edx, адрес
call dword ptr [edx]
Как посмотреть код, вызываемой процедуры? т.к IDA сама не понимает. Походу адрес выходит за границы этой длл.

| Сообщение посчитали полезным:

Попробуй так ctrl+g адрес.
А что мешает посмотреть код процедуры в Olly?

| Сообщение посчитали полезным:

1. Ищи плагины от Servil , для иды , там есть поиск неявных референс трасингом , в 70 процентах случаях поможет ... Адрес процедуры будет связана , и добавлен в комменты

2. Анализируй , пиши скрипт

3. Отладка , эмуляция

4. Анализ адреса , переопределение данных

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

Что то код похож на ntdll.dll!KiFastSystemCall, если так, до действительно почему бы в ольке не посмотреть.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill пишет:
Что то код похож на ntdll.dll!KiFastSystemCall
Батенька, в экстрасенсы... однозначно по двум командам то...

| Сообщение посчитали полезным:

возможно совет глуп, но можно поставить бряк на это место и загрузить библиотеку, использовав exe, который её загружает?

| Сообщение посчитали полезным:

Zorn пишет:
Батенька, в экстрасенсы... однозначно по двум командам то...
Если занимаешься этим не первый день, то и по двум командам определишь, больше практикуйся. Компиляторы так просто такой код не генерируют.

ЗЫ:


-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Понял что это функция вызывает сервис NtUserRegisterHotKey, как дальше отлаживать? Нужно понять что он делает дальше.

| Сообщение посчитали полезным:

Почитать мсдн/отладить ядро винды/поискать сорцы винды.

| Сообщение посчитали полезным: