История изменений

для каждого случая индивидуальные. Если например известно, что из функции вызывается какая-то другая, можно попытаться поставить брейк на ней и смотреть в стек.
Ещё может быть полезна конструкция:
print *(void*[64]*)($esp - 4)
Она распечатает окрестность стека в виде массива указателей.
Может оказаться полезной трассировка строковых операций.
Декомпиляторы к сожалению в своём большинстве платные, с достаточно дорогой лицензией. Добавлю, что указатели обычно делятся на 3 группы: 1. указатели на кучу 2. указатели на стековую память 3. указатели на бинарник Зная, где они примерно расположены, можно найти функции. Анализируя листинг дизассемблера можно перечислить все функции в бинарнике по инструкциям call для x86 и bl (с разными флагами) для arm

для каждого случая индивидуальные. Если например известно, что из функции вызывается какая-то другая, можно попытаться поставить брейк на ней и смотреть в стек.
Ещё может быть полезна конструкция:
print *(void*[64]*)($esp - 4)
Она распечатает окрестность стека в виде массива указателей.
Может оказаться полезной трассировка строковых операций.
Декомпиляторы к сожалению в своём большинстве платные, с достаточно дорогой лицензией, да и не панацея - как найти именно нужную функцию по декомпилу?

для каждого случая индивидуальные. Если например известно, что из функции вызывается какая-то другая, можно попытаться поставить брейк на ней и смотреть в стек.
Ещё может быть полезна конструкция:
print *(void*[64]*)($esp - 4)
Она распечатает окрестность стека в виде массива указателей.
Может оказаться полезной трассировка строковых операций.
Декомпиляторы к сожалению в своём большинстве платные, с достаточно дорогой лицензией.