драсьте, может баян, короче задача такая, надо отследить запуск пейлоада. и брякнуться. известно что регистры перед этим будут восстановлены как на EP. единственная идея - поинструкционный трейс с проверкой регистров... мб чтото еще? напейсал тут, ибо раздел wasm.debug не гуглится
sn0w, Запуск приложения разделяется на фазы. Первым запускается нэйтив, он также на фазы делится. Они нужны для отладки и прочих вещей, это загрузка нэйтив инструментов, например контроллеры памяти(верифер), слой совместимости(shim) и прочие подобные вещи. Системный загрузчик сразу после запуска может вести полный лог событий, но это нужно запустить, так как это дебаг механизм. Этого обычно достаточно для отладки запуска любого апп. EP - это довольно размытое понятие, длл энтри или какой то тлс тоже EP. А есчо EP может быть скрыта слоем протектора. Уточните вопрос, нужны подробные детали.
это я понимаю, обычно начинаю с sxe ld:ntdll если чтото "само по себе" и внезапно происходит. тут всё просто: на борту бинаря, допустим ехе, есть запакованный пейлоад, известно что перед всяким мусором( антитрейс, антиэмуль итд) и последующим анпаком пейлоада, сохраняются нонволатильные регистры, вместе с esp/ebp - именно те, которые были по адресу AddressOfEntryPoint. после распаковки в памяти пейлоада, эти регистры восстанавливаются и происходит джамп на EP полезной нагрузки. но в ней кстати тотже optional_header замусорен пакером. и вот надо както отловить момент когда все регистры будут равны тем что были сохранены, либо както ждать чтоли появления страниц со взведенным битом PAGE_EXECUTE и на них вешать PAGE_GUARD. вот хз.