Xóa bp đi, gõ bp WriteProcessMemory, F9, Olly break:... Ta patch 2 byte trong buffer sẽ ghi vô OEP để process child chạy như trâu đến OEP thì dừng lại chờ ta thịt... _ Đặt hardware Break
Trang 1_ Chú ý địa chỉ 12EB54, vô dump window, Ctrl + G, nhập 0012eb54 Xóa bp đi, gõ bp WriteProcessMemory, F9, Olly break:
Trang 2_ Ta được OEP = 404000, bắt đầu ghi tại address 404000 của child, buffer bắt đầu tại
003D1DD0 của father Ta patch 2 byte trong buffer sẽ ghi vô OEP để process child chạy như trâu đến OEP thì dừng lại chờ ta thịt Trong Dump Window, Ctrl + G, nhập vô 003D1DD0, Ctrl + E:
_patch thành EBFE (Các bác nhớ 2 byte đã patch là 9BDB nhé)
Trang 3_ …( mệt quá) tìm được magic call:
_ nop lệnh call này:
_ Xóa tất cả Bp, gõ bp WaitForDebugEvent, F9, Olly break, Follow in Disassembler, New origin here tại 42aaf7 , Ctrl + A:
Trang 4_ Nop hết, patch sạch, kết quả là :
_ Đến 00401000, patch thành:
Lý do:
_ trong dump window patch thành:
Trang 5_ Đặt hardware Breakpoint on execution vô 40102e, F9, olly break:
_ bây giờ thì cắt đứt quan hệ cha con, Push Childprocess’s ID, call DebugActiveProcessStop … :