<div dir="ltr">I see, but I still don't understand the method used here. How can you see the stack entries if you don't disassemble the file? The only way I know of is through WineDbg and that does not seem to be correct. The method on that wiki page appears to require looking at the assembly code. Specifically, it says "ret hhll (where hhll is the number of bytes to remove, i.e. the number of arguments times 4)". As far as I know, ret is assembly code. So the method listed requires disassembly, no?</div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Dec 28, 2021 at 12:02 AM Alex Henrie <<a href="mailto:alexhenrie24@gmail.com">alexhenrie24@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On Mon, Dec 27, 2021 at 9:00 PM Mohamad Al-Jaf <<a href="mailto:mohamadaljaf@gmail.com" target="_blank">mohamadaljaf@gmail.com</a>> wrote:<br>
><br>
> I don't understand this, I thought disassembly of Microsoft DLLs wasn't allowed? Why then does the example show assembly code of the undocumented function?<br>
<br>
They're just example functions that some Wine developer wrote and<br>
compiled on their own to validate this method of guessing function<br>
arguments. They're not Microsoft code.<br>
<br>
-Alex<br>
</blockquote></div>