Ну ось ще один виклик функції

а навіщо коалі пічєнькі?

а, ну якщо ви про массив методів разом з данними то це тааак, то було круто хД

Викладай тут ЕХЕ. Так, здаєтья це знайома мені низькорівнева чорна магія.

Значить я трішки копнув ЕХЕ, тож маю такі результати:
* Використовується протектор  - найімовірніше VMProtect
* Щоб бачити CALL за тими адресами потрібно: знати як діє команда CALL і розуміти чим OFFSET(зсув) одрізняється  од VA(віртуальна адреса) й RVA(відносна віртуальна адреса). До того ж слід мати уявлення про структуру PE файла. Як зарадити вам із копанням даних я вже знаю, проте вищевказані знання значно полегшать роботу.

Ну кароч трохи почитав про то. Call значить працює так. Заносить адресу наступної команди на верх стека, потім викликає процедуру по заданій адресі, а коли доходить до ret, то береться адреса зверху стека і таким чином слідуюча команда, котра буде виконуватись, буде знаходитись відразу після команди call. Зі зсувом я не зовсім розібрався, бо їх там купа, я навіть команду таку в ассемблері бачив. Можливо, зсув - це відстань від початку програми до чогось там. Про VA, це значить просто якась адреса, а RVA - адреса від початку якогось блоку. Наприклад, в опціональному заголовку PE файла є значення AddressOfEntryPoint, так це RVA від початку точки входу в програму, а ще є RVA директорії іморту.

Зсув я мав на увазі файловий (ПЕ32 формата), а тепер розберися як одне витікає з іншого. Наприклад, як отримати VA, знаючи offset і навпаки ( RVA <-> offset, RVA <-> VA, offset <-> VA) Бо зміниш щось у пам'яті, а потім треба буде порахувати як це змінити на диску. Після цього треба буде знайти зневадник, якого не бачить прога і встановити апаратні точки зупину (Hardware access breakpoint) на потрібні ділянки пам'яті. Таким чином можна легко відстежити шифрування, навіть не розуміючи систему команд процесора Чи програмної віртуальної машини.