Возник вопрос, при патчинге любой инструкции в памяти на int3(0xCC), предположим по адресу 0x12345, я жду появления события waitfordebugevent, далее делаю свое дело и по идее востанавливаю работу программы через ContinueDebugEvent. Так вот, посел ContinueDebugEvent процессор выполняет дальше инструкцию по адресу 0x12346 или же он выполняет по адресу 0x12345 опять?
Я так понимаю(по коду, что видел в инете. в разных статьях), что если я не уберу int3 - прога будет стоять на этом месте? Или же если там остается CC процессор идет дальше(извиняюсь, нету возможности почитать x86 архитектуру досканально, да и простое объяснение зачастую лучше)

| Сообщение посчитали полезным:

Так вот, посел ContinueDebugEvent процессор выполняет дальше инструкцию по адресу 0x12346 или же он выполняет по адресу 0x12345 опять?

Имеет смысл смотреть в отладчике регистр Eip, который ответственнен за текущую выполняемую
инструкцию, выполняешь строчку кода через F7/F8 (Step Into/Step Out)
и просматриваешь структуру CONTEXT



Подробно о debug API
wasm.ru/article.php?article=1001029

-----
Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes

| Сообщение посчитали полезным:

Наконец я дома и все под рукой - разобрался.
Да, после int 3 дебаггеры дружно переходят на следующую инструкцию, поэтому пришел к выводу что надо использовать getthreadcontext и setthreadcontext, с указанием нужного eip.

Всем спасибо.

| Сообщение посчитали полезным:

Если разобрался, тогда закрою топик.

| Сообщение посчитали полезным: