смотря чем отлаживать. если ollydbg - то идет отладка одного процесса. других процессов не касается. поэтому второй запущенный выполняется вне отладчика. если же тем же softice, windbg, syser - ставить бряк на CreateFile глобально - не знаю не знаю. Бряк должен быть в АП определенного процесса. Если они ставят во все процессы - запаришься разгребать вызовы =)
"Загружаем файл в дебагер, ставим точку останова на CreateFile. Логично ведь - любая вредоносная программа должна ее использовать?" - сильно =)
но такой простой финт обходится например запуском второй копии процесса, в итоге имеем зараженную систему. если руткит толковый - то имеем гемор с его обезвреживанием. это первый нюанс.
ну а второй - не стоит на рабочей машине исследовать вирусы, для этого стоит заводить VMWare. Сам так делаю и вам того же желаю =) Ибо способов уйти из-под отладки столько... =)
но такой простой финт обходится например запуском второй копии процесса, в итоге имеем зараженную систему. если руткит толковый - то имеем гемор с его обезвреживанием. это первый нюанс.
ну а второй - не стоит на рабочей машине исследовать вирусы, для этого стоит заводить VMWare. Сам так делаю и вам того же желаю =) Ибо способов уйти из-под отладки столько... =)