Windbg如何从调用地址获得函数调用名

0:000> dds poi(00405798+2) l1

0051b710 7e42974e user32!GetCursorPos
命令的原理是这样的。以下面这条指令为例：
call WINCMD32+0x1a908 (0041a908)
CALL指令调用的地址0041a908处通常是一条跳转指令:
00405798 ff2510b75100 jmp dword ptr [WINCMD32+0x11b710 (0051b710)] ds:0023:0051b710={user32!GetCursorPos
(7e42974e)}

0040579e 8bc0 mov eax,eax
这条跳转指令的目的其实就是跳转到IAT表中对应API表项所保存的API入口。注意上面的机器码ff2510b75100，前两个字节ff25是操作码，后四个字节10b75100是操作数，其实就是间接跳转时取最终目标的地方，转换成DWORD就是0051b710。
使用!dh命令可以找到IAT表的位置：
0:000> !dh 00400000
...
11B000 [ 2A20] address [size] of Import Directory
...
也就是说IATA表的偏移是11B000，长度是2A20，上面的地址0051b710就是在这个范围内：
0:000> ?? 0x0051b710-(0x400000+0x11B000) < 0x2a20

bool true
也可以直接dds这个表，来了解导入了哪些API......
当然也可以对IAT表设断点，调用时停下来 :-)

知识普及：
http://blog.sina.com.cn/s/blog_4d2bfe580100096z.html