Các bác nên copy những byte này vô 1 file là IATable.bin để phòng sau này có việc hay là lần unpack sau đỡ phải fix magic jump, chỉ cần copy byte và paste vô bảng IAT là xong.. _ Trước k
Trang 1Các bác nên copy những byte này vô 1 file là IATable.bin để phòng sau này có việc hay là lần unpack sau đỡ phải fix magic jump, chỉ cần copy byte và paste vô bảng IAT là xong
_ Trước khi paste bảng IAT :
Và sau khi paste:
Trang 2Start of Target Code: 404000
Length of Target Code: 2000
Base of Existing IAT: (của em là 3C855B)
Len = 280
New base: 004060CF (thuộc section data, vùng này trống nhiều, rebase vào đấy tí nữa loại lun mấy section kia cho rảnh nợ)
=> Rebase, và được kết quả như sau:
Trang 3_ Đến đây cũng có 3 cách : dump memory, Use ArmInline (bị lỗi) , và cách của Tomo (use ArmTools) Nhưng trước khi đi vào từng cách thì ta làm các bước sau (làm xong cũng ko close Olly nha):
_ dump full process by using LordPE; dump vùng nhớ code splicing (của em là 33B0000 ) ra file mem,
Trang 4Trước khi làm tiếp các bác copy thêm 1 bản sao nữa của file dumped_.exe (để dùng cho cách sau)