У меня возникла проблема с исполняемым вредоносным ПО типа .net, x86, pe32, которое я анализирую на виртуальной машине. Поле точки входа не равно NULL, поэтому это исключает выполнение, начиная с 0x0.
Когда я разрываюсь с отладчиком в точке входа после создания процесса в приостановленном состоянии, этой программе удается получить вызовы до точки входа. Я немного смущен здесь, как именно это может работать?
