Как можно узнать имя файла, который читает прога при отладке айсом (она читает несколько файлов)? Вряк на ReadFile, а дальше куда смотреть? И ещё: почему при срабатывании бряка на CreateFileW то EAX (в ECX нули или мальенкое число) указывает на имя файла, то ECX (в EAX или нули или 1)?

Ставить бряки на CraeteFile и при каждом срабатывании записывать имя файла и возвращаемое значение (HANDLE) в таблицу. Потом сверять HANDLE в ReadFile (первый param в стеке) с таблицей. Главное - настроить бряки только на интересующий процесс во избежание огромного кол-ва ненужных бряков.

ЗЫ: Кстати, а вам не подойдёт FileMon?

Я исследую компилятор словарей известной фирмы последний версии:)), хочу понять алгоритм создания словаря. Т.к. начал заниматься этим недавно (с месяц назад), многое непонятно, но очень интересно. Так вот, при создании своего словаря создаются несколько временных файлов в темпе, так что тут файлмон думаю не нужен, нужно только содержимое записываемого файла, потом буду копать алгоритм.
Я думал, что при ReadFile или WriteFile надо обратиться куда-то по дескриптору, и там будет имя файла.
Насчёт ненужного количества бряков - тут вроде получается, внизу айса я так понял текущий процесс, там не появляется explorerov, winlogonov etc когда иду по брякам.

попробуй написать простейшую dll ку перехвата функций createfile и readfile и чтоб они сами все сохраняли что надо, примеры есть на wasm.ru