_Ok, Bây giờ nhấn Ctrl+F2 để Reload lại target, Nhấn Shift+F9 chúng ta sẽ Dừng tại breakpoint mà chúng ta đã set breakpiont Hardware, on write / Dword chúng ta sẽ thấy như hình sau: _ N
Trang 1_Ok, Bây giờ nhấn Ctrl+F2 để Reload lại target, Nhấn Shift+F9 chúng ta sẽ Dừng
tại breakpoint mà chúng ta đã set breakpiont Hardware, on write / Dword
chúng ta sẽ thấy như hình sau:
_ Nhấn Shift+F9 phát nữa chúng ta tới đây:
Trang 2_bên dưới vệt sáng màu vàng có 1 lệnh jmp 00D62111 Ctrl+G và nhập vào
00D62111 và chúng ta nhảy tới đây:
_Cuộn chuột xuống phía dưới 1 chút và dừng tại địa chỉ 00D6218F
_Nhấn Enter để và bên trong lệnh Call này, nhưng trước hết các bạn hãy xóa
breakpiont Hardware, on write / Dword mà lúc trước ta đã SET Chọn menu
Debug/Hardware breakpoints :
Trang 3đây:
_cuộn chuột xuống 1 chút dòng màu vàng chính là Magic Jump
Trang 4_Bây giờ ta Set 1 breakpiont Hardware, on Execution
_Bây giờ lại nhấn Ctrl+F2, Shift +F9 và chúng ta dừng tại Breakpoint vừa Set Tới đây ta dùng Srcipt để Fix IAT, đoạn Script có Code như sau:
IATscript.osc
dbh
eoe LABEL
Trang 5LABEL:
esto
jmp LABEL
BABEL:
cmp eip, 00D54B9B
jne FIN
mov !ZF, 1
run
jmp BABEL
FIN:
ret
_Địa chỉ 00D54B9B trong Script chính là địa chỉ Magic Jump mà chúng ta vừa dừng trong Olly Địa chỉ này thay đổi theo từng máy nên các bạn chú ý sữa lại cho đúng khi chạy Script Một vài thao tác trước khi Run Script là bạn phải Set cho cờ Z=1 nếu như nó bằng không bạn phải thực hiện nó để khỏi bị mất hàm nào khi Script run
_Tiếp theo ta nhảy tới OEP=00466EAA (Ctrl+G nhập vào 00466EAA) và set 1
breakpiont Hardware, on Execution tại OEP làm như vậy để khi Fix IAT xong
Script tự động nhảy tới OEP luôn
_Sau khi thực hiện xong 2 yêu cầu trên chúng ta Run Script “IATscript.osc”, khi
Script chạy hoàn tất thì
Trang 6_tiếp theo Open ImpRec 1.6, Chọn proccess là SWFText.exe, điền OEP= 66EAA
((0x466EAA - 0x400000 = 66EAA), Press “IAT AutoSearch” , Press button “Get Imports” và press button “Show Invalid” và ta được như hình sau: