R0 CREW

Запустить процесс в приостановленном виде

Здравствуйте, интересует вот какой вопрос, есть ли программа для запуска .exe до вызова точки входа к примеру, а дальше чтоб процесс был заморожен.
Идея такая: если IDA изначально не способна запускать мой .exe (запуск ломается), а цепляется к нему успешно и все нормально, то можно впринципе запустить программу и приостановить ее, а потом цепануть IDA.
Собственно, существует ли такая программа?
Process Explorer’ы не предлагать, они не способны замораживать процесс при запуске

меняете на точке входа два байта на eb fe (jmp short $), запускаете, цепляете ИДА, возвращаете на место старые байты и отлаживаете

Фишка в том, что там точка входа битая бывает, пишет что sp value неверное.
Я сравнивал в запущенном виде и в момент запуска через IDA, там половина байт вообще отсутствует и сам ассемблерный листинг тоже другое выходит
Вы можете посмотреть .exe’шник если есть свободное время?

Кстати, что очень странно, в отладчике x32dbg все прекрасное работает (запуск с параметрами процесса и отслеживание), а вот в IDA шиш, выводит дичь в коде асм отличную от кода в x32dbg

Не удивительно, практически все популярные игры чем-то пакуют свои клиенты. Когда exe запущен он уже распакован и там нормальный листинг, в момент же запуска еще ничего не распаковалось и там куча треша.

Дарвин, он ничем не упакован, а вот по размеру сжат.
Если бы он был упакован, то x32dbg его бы тоже не смог сам открыть и запустить или идти шаг за шагом.

Я вроде понял в чем фишка, в IDA он стек ломает этой .exeшки, я хз почему.
Короче, код точки входа вообще отличается от того, что в x32dbg видит, и я даже приложение в IDA запустить не могу, пишет sp value… то есть, указатели на вершину стека мол не те. А как их правильно поставить через Alt+K?

Открывал этот файл. Накрыт каким-то простым упаковщиком (протектором):

Собственно, почему тогда x32dbg смог его открыть?
Вы уверены что это упаковщик?
У IDA вроде просто стек сбит и надо его поправить через Alt+K

Учим матчасть о том, что такое упаковщики исполняемых файлов. Начать можно от сюда.

Тема закрыта.