Lưu đè lên với cùng tên file fix dump.. Nên nhớ nhiệm vụ chỉnh sửa của chúng ta bao gồm 2 phần ,sửa địa chỉ D41E90 thành 1 vùng địa chỉ nằm trong file ,và sửa nội dung tại vùng địa chỉ n
Trang 1Bạn có thể sử dụng bất kì vị trí nào còn trống ,ở đây trick chọn 4697A0 Quay lại cửa sổ Code Olly (2),sửa giá trị D41E90 lại :
Tô ngay vùng DWORD vừa sửa ,Chọn :
Trang 2Lưu đè lên với cùng tên file fix dump Nên nhớ nhiệm vụ chỉnh sửa của chúng ta bao gồm 2 phần ,sửa địa chỉ D41E90 thành 1 vùng địa chỉ nằm trong file ,và sửa nội dung tại vùng địa chỉ này sao cho trùng với DWORD mà ta tìm thấy ở Olly (1) .Nhưng Olly chỉ Save được sự sửa đổi trong 1 section nên ta phải làm lần lượt 2 lần
Lại dùng Olly (2) mở lại file fix dump vừa bị lưu đè ,Ở cửa sổ Dump, Goto tới địa chỉ vừa sửa 4697A0 :
DWORD cần sửa vào phải là giá trị đã tìm thấy ở Olly (1) nhưng ta phải dời lên
1 DWORD tính từ 4697A0 ,sau đó Edit thành:
Trang 3Sẽ thấy nó chỉ truy xuất tới giá trị ở D41E90 + 4 tức là 4697A0 + 4 hiện giờ Vậy save file lại được rồi đấy :
Tốt nhất là lưu đè name file fix dump luôn Olly (1) vẫn chưa Close nhé Giờ run file fix dump xem sao (cùng folder 2 module kia nhá), chà chà :
Trang 4C – Find & Dump 2 Hidden Stub Files:
File “RUN NGON” đúng ko ? Ậy ậy ,khoan buông từ “NGON” ra khỏi mồm sớm như thế ,chọn lấy 1 file PE bất kì ,như trong hình là NOTEPAD.exe ,sau đó nhấn nút “Pack To Box” :
Trang 5Vậy là khỏi “NGON” luôn Nhớ lại list mà ta thấy lúc đầu :
Theo list trên thì và thông báo lỗi thì ta đoán ra ngay là sót 2 em :
mbox2_bootupltdemo và mbox2_bootupdbgltdemo Còn file mbox2_blacklist.txt thì ko cần tìm làm gì Nếu bạn từng chạy 1 bản Retail 2.5x thì sẽ gặp 1 NAG đòi License Như thế file black list chỉ có thể là list Key để so sánh với Key nhập vô .Như vậy thì file này ko thể có trong 1 bản Trial ko hề đòi key được Giờ ta tìm 2 file bootup kia nhé
Lão Héc Cù Léc dùng 1 tip mà trick cho là khá hay ,dùng bp CreateFileA kết hợp với bp GetSystemTimeAsFileTime để sau khi return của hàm này sẽ mò ngay chỗ tạo ra file bootup trên Giờ quay lại Olly (1) vẫn đang dừng tại câu lệnh PUSH …:
- msvcp60.dll
- MSkinCore.dll
- mbox2_bootupltdemo
- mbox2_bootupdbgltdemo
- mbox2_blacklist.txt
Trang 6Bỏ BP ngay đây đi Nhấn để cho target run hoàn toàn vào giao diện chương trình Trước khi tiến hành Pack File ,quay lại Olly (1) ,set bp CreatFileA :
Giờ mới nhấn nút “Pack To Box” và Break
Chưa phải file cần tìm ,tiếp tục nhấn Shift-F9 cho đến khi thấy: