Đây có thể là sự bắt chước ASPack.. Nhưng trước đây những soft khác của cty này không xuất hiện theo cách này … hơn là chỉ một lệnh PUSHAD.. Như vậy mục đích của chúng ta là đi tìm OEP c
Trang 1Đây có thể là sự bắt chước ASPack Nhưng trước đây những soft khác của cty này không xuất hiện theo cách này … hơn là chỉ một lệnh PUSHAD Như vậy mục đích của chúng ta là đi tìm OEP của real exe Để làm việc này chúng ta sẽ sử dụng stack cho sự trợ giúp, thay vì trace bằng tay cho từng bit Thực hiện lệnh PUSHAD bằng cách nhấn F7 và sau đó sẽ dump tại giá trị của thanh ghi ESP và đặt
BreakPoint tại Hardware BP on Access WORD
Dump tại giá trị ESP
Trang 2Tiếp đó lựa chọn 2 byte trong cửa sổ memory, và set HW BP on ACCESS WORD
Bây giờ ta nhấn F9 để Olly break tại BP
Trang 3Nhấn F9 lần nữa sẽ Break tại encryption layer tiếp theo
Bây giờ nhìn đoạn mã rất giống với ASPack
Nhấn F9 một lần nữa, chúng ta sẽ tới đây :
Nhấn 2 lần F7 để thực hiện lệnh JNZ và lệnh RETN, chúng ta sẽ tới OEP của file real exe :
Yeah OEP= 005C3BA4h, tại đây ta có thể tiến hành dump một cách an toàn nhờ
sử dụng Plug của Olly (OllyDump) và sau đó tiến hành gắn its import vào nó
Trang 5Sau đó chỉ việc save nó với tên gì tùy ý bạn Sau đó khởi động IMPREC tìm kiếm IAT
Select our process and attach IMPREC to it
Then enter in our OEP (005C3BA4 - 00400000 = 1C3BA4)
So in OEP box type in "1C3BA4" then click "IAT Autosearch"