бинарник автоматически меняет байты в EP

Если это релоки, то может кто подсказать есть ли хорошее описание этой фичи пе формата ?

 

Это не релоки портят. Они не попадают в адрес 004013C9

 

А может и сидит... Trojan.KillFiles.6493 (DrWeb detect)

 

Походу нужно в загрузчик лезть, иначе продолжите гадать. Учитывая что описателя секции замапленной в процессе нет, значит одна проекция и HWB чудесно так сработает, маловероятно что ядро туда пишет, обычно протект и врайт в юзермоде. Да тупо в дебуггере пометить страницу как сторожевую и возникнет останов. Не серьёзно это всё.

 

На моих машинах проблема не воспроизводится. Ты или где-то косячишь, или точку входа патчит какой-то другой, работающий у тебя софт.
Подключись к целевой системе удалённым ядерным отладчиком и сделай ba w1 <ep_address> сразу после того, как будет создан и замапплен section object, описывающий твой исполняемый файл.

 

Стрелять по мухам из пушки..
bpx LdrpCallInitRoutine в олли. Да и вобще там в опциях есть System Breakpoint, тоесть брейк сразу после возврата из NtMapViewOfSection, вы ведь помните что это одно из отладочных событий!?

 

В натуре, прошу прощения. На чистой виртуалке EP чистый. Сорри!