Đúng là nó move tiếp sang phần kết thúc trước đó .Thôi Trace F8 để nó move hết qua cho rồi... Save với name gốc của nó : mbox2_bootupltdemo .Không có đuôi mở rộng nhé .Vẫn ko Close Olly
Trang 1Đúng là nó move tiếp sang phần kết thúc trước đó Thôi Trace F8 để nó move hết qua cho rồi
Vậy xác định được địa chỉ bắt đầu lưu file bootup này là ở Offset = 1642C8 với
Size = 16000
Dùng LordPE ,Dump Partial riêng vùng nhớ này :
Trang 2Save với name gốc của nó : mbox2_bootupltdemo Không có đuôi mở rộng nhé Vẫn ko Close Olly (1) Tạm bỏ BP tại GetSystemTimeAsFileTime đi Shift-F9 cho run hoàn toàn ,quá trình packing hoàn thành ,close cửa sổ pack bên Mole này
đi nhưng đừng close luôn Mole này nhé Giờ quay lại file fix dump ,chạy và pack lại NOTEPAD xem sao :
Ko còn lỗi đúng ko ? Nhưng nhớ lại 1 lần nữa , rõ ràng trong list là :
Trang 3Tức là còn thiếu 1 file mbox2_bootupdbgltdemo Liệu có cần file này hay ko ?
Mở Option Mole của file fix dump :
Check vào ô này :
Sau đó Pack lại NOTEPAD thì :
Tức là vẫn cần file này Chữ “dbg” trong name file có lẽ là Debug ,giúp cho quá trình Log khi packing file Okie, Quay qua Mole bên Olly (1) ,cũng chọn Option như trên ,trước khi nhấn nút pack ,cũng bp CreateFileA :
Nhấn “Pack To Box” ,Break Tiếp tục Shift-F9 cho tới khi thấy :
- msvcp60.dll
- MSkinCore.dll
- mbox2_bootupltdemo
- mbox2_bootupdbgltdemo
- mbox2_blacklist.txt
Trang 4Bỏ BP tại CreateFileA đi Set bp GetSystemTimeAsFileTime Và sau đó là làm
gì nữa bạn tự biết rồi đấy Tương tự các bước ở trên tìm được số lượng Byte ban đầu được move vào tại :
Size ban đầu vẫn 10000 Nhưng Size thật lại là :
Vậy Size thật là 19E00 Nhưng quá trình move chưa xong Làm tương tự bước thứ 2 như trên ,các byte được move vào tiếp từ 174280:
Trang 5Dùng LordPE để dump partial Offset = 164280 , Size = 19E00 :
Save với name tìm được : mbox2_bootupdbgltdemo ko có đuôi mở rộng Vậy trong folder làm việc lúc này có :