: Vậy là chúng ta đã thành công, nhấn F9 để Run chương trình , chúng ta sẽ thấy như sau : Giữ nguyên như thế , chúng ta quay trở lai Olly và thực hiện công việc cuối cùng là lưu tất cả
Trang 1Sau đó nhấn F8 và Trace qua lệnh RETN chúng ta thấy giá trị của AL vẫn là 1
không hề thay đổi Khà khà đúng như chúng ta mong đợi Và sau khi thực hiện xong lênh RETN chúng ta quay trở về và tiếp tuc quá trình lưu thông tin đăng kí vào Registry : )
Vậy là chúng ta đã thành công, nhấn F9 để Run chương trình , chúng ta sẽ thấy
như sau :
Giữ nguyên như thế , chúng ta quay trở lai Olly và thực hiện công việc cuối cùng
là lưu tất cả những gì chúng ta chỉnh sửa lại Để thực hiện điềun này , tại màn hình
chính của Olly chúng ta nhấn chuột phải và chọn Copy to Executable > All
Trang 2Modifications , sau đó chọn tiếp Copy All Một cửa sổ mới hiện ra , nhấn chuột
phải trên cửa sổ này và chúng ta chọn Save File Đặt một cái tên bất kì ở đây tôi
đặt là SplitterFixed.exe Và bây giớ chúng ta hoàn toàn có thể đóng Olly lại được
rồi
Tiến hành Test lại những gì mà chúng ta vừa làm Run file SplitterFixed.exe và
nhập thông tin vào, nhấn OK Chương trình yêu cầu Restart lại đồng ý thôi, sau đó Run lại và vào menu About chúng ta thấy như sau :
III Creating a Patch :
Công việc cuối cùng bây giớ là chúng ta tạo một Patch file cho packed file Điều này là hết sức cần thiết Ở đây tôi sẽ sử dụng một chương trình tạo Patch file rất
nổi tiếng là Diablos2oo2 Universal Patcher, or DUP Oki chúng ta mở chương
trình này lên, sau khi tiến hành nhập đầy đủ các thông số trên Tab Patcher Settings như Application Name, Target Filename v v Chúng ta chuyển qua một Tab rất
quan trọng là Offset Patch Đầu tiên bạn chọn Virtual Address Mode (this allows
us to patch the executable based on the offsets of the program when it is
loaded into memory) Đối với mục Original File chúng ta chọn
SplitterDump_.exe còn Patched file chúng ta chọn là SplitterFixed.exe Sau đó chúng ta nhấn vào nút Compare , chương trình sẽ list ra những bytes đã được thay
đổi Điều mà ta cần bây giờ là đưa cho chương trình Patcher này thông tin về
packed file gốc Do đó chúng ta nhấn Get It và chọn Splitter.exe Và cuối cùng
chúng ta nhấn Creat Patch để tạo Patch File , đặt tên bất kì bạn muốn : )
Trang 3Vậy là xong , cuối cùng chúng ta cũng hòan thành được hai việc Unpacking và Patching chương trình này Giờ chỉ còn mỗi một việc là đem sản phầm của chúng
ta release cho bạn bè xài thôi : )
: End Tut :
18/05/2005
Trang 4++ ==[ Greatz Thanks To ]== ++
- Thank to my family, Computer_Angel, Moonbaby , Zombie_Deathman,
Littleboy, Benina, QHQCrker, the_Lighthouse, Hoadongnoi, Nini all REA‘s members, HacNho,RongChauA,Deux, tlandn, dqtln , ARTEAM all my friend, and YOU
>>>> If you have any suggestions, comments or corrections email me:
kienbigmummy[at]gmail.com
I Introduction:
Chúng ta sẽ unpack version 2.79 betad của PECompact (www.bitsum.com ) HI vọng rằng, sau khi đọc bài hướng dẫn này, các bạn sẽ có sự hiểu biết nhiều hơn về các thức hoạt động của PECompact và có được cách để unpack nó Sau đó, các bạn có thể tìm kiếm một target được bảo vệ bởi version này và unpack, rebuild
nó với những option cao cấp
Công cụ cần thiết:
Olly (plugin Ollydump)
Imprec
2.Unpack:
Đích của chúng ta là version mới nhấtt PECompact v2.79 beta d
Trang 5Hãy “mở lửa” cho Olly PECompact không dùng bất ký một kỹ thuật chống debug nào, nhưng chúng ta hãy cứ chọn lựa như sau:
Sau khi làm như trên, các bạn hãy mở PECompact2 GUI, Bạn nên tìm ra được EntryPoint sau:
Giờ, tôi sẽ nói một ít về PECompact sẽ unpack bản thân nó như thế nào
Đầu tiên, bạn sẽ phải chú ý rằng EntryPoint của chúng ta được định vị tại section text của chương trình Hãy nhìn vào Map Memory:
Trang 6PECompact vừa mới ghi trình loader của nó vào trong section chính của tiến trình đang chạy Điều này có ý nghĩa gì khi ta unpack nó? Nó có nghĩa rằng ở một vài điểm thực thi của PECompact trong quá tình nó unpack file gốc một cách chính