Есть довольно странная программа, которая запускает саму себя. По крайней мере пришел к такому выводу. Использую IDA pro. Запустил программу, посмотрел через ProcMon, после какого-то времени работы увидел, что PID'ы у программы с одним именем разные. Поставил bpt на функцию CreateProcessW, после чего исполнение кода происходит без остановок в другой копии программы, смотрел аргументы, с которыми запускается в стеке что-то есть из папки temp, но в ProcMon нет никаких аргументов на вызове CreateProcess. Попробовал запустить с теми же аргументами из стека, ситуация не поменялась. Можно ли как-то поймать в отладчик новую программу на раннем этапе, где-то в EntryPoint? Думаю, что самое интересное в ней.
LastNoob, а что мешает поставить брейк прямо в entryPoint? адрес известен. если совсем никак - ида меняешь первую инструкцию на 0xcc
Назначь программе отладчик через IFEO. Код (Text): Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\<someexe>.exe] "Debugger"="D:\\<somepath>\\ollydbg.exe \"%1\""
Это новая копия того же .exe файла, то есть адресное пространство другое, bpt надо ставить в новой программе, а она еще не запущена, вопрос был в том, как отловить ее до запуска. Попробовал вариант f13nd, довольно интересное решение, благодарю