Vùng này có thể khác trên máy bạn, nếu chú ý đến giá trị đánh dấu đầu tiên nó là direction mà ở đó 4 bytes đã đươc thay thế của lệnh jump đầu tiên goto đến 031C0000, 4 bytes theo sau trong zone này của memory (2002DBEB) là giá trị đã được viết vào vùng đã đươc chỉ định bởi 4 bytes trước (004014C4) đó, kết luận lại ta có như sau 00EC5908 C4 14 40 00 38 EB DB 02 20 00 1C 03 A4 14 24 FD Ä@.8ëÛ1[1] . ¤$ý 00EC5918 D7 14 40 00 49 EB DB 02 31 00 1C 03 A6 14 24 FD ×@.IëÛ1[1]1. ¦$ý 00EC5928 F3 14 40 00 3E EB DB 02 51 00 1C 03 A2 14 24 FD ó@.>ëÛ1[1]Q. ¢$ý 00EC5938 06 15 40 00 4B EB DB 02 6A 00 1C 03 9C 14 24 FD @.KëÛ1[1]j. œ$ý 00EC5948 1F 15 40 00 4B EB DB 02 8C 00 1C 03 93 14 24 FD - @.KëÛ1[1]Œ. “$ý 00EC5958 2C 15 40 00 60 EB DB 02 B5 00 1C 03 77 14 24 FD ,@.`ëÛ1[1]µ. w$ý The values in yellow are directions of memory within the code of our feasible one, the values in green are the bytes that will be written in the zones that indicate the yellow bytes, corresponding one to one, the same happens with the values in turquesa, single that these are in the zone of the code of the CodeSplicing and their corresponding values are those that are in fucsia Gía trị màu vàng (yellow) là directions của memory chứa code có thể thực thi của chúng ta, các gtrị màu xanh lá cây (green) là các bytes sẽ đươc written vào vùng zones đươc chỉ định bởi các bytes màu vàng (yellow) trước đó, tương tự tương ứng một- một như xảy ra với các giá trị màu ngọc lam (turquesa), đơn giản là chúng ở trong vùng code của CodeSplicing (ghép nối code) và tương ứng các giá trị của chúng là các giá trị màu hồng đỏ (fucsia) With this table we can redirigir the jumps of the zone of code of our feasible one and that correspond with the jumps of the code of the CodeSplicing in any zone of memory which we choose, this table weapon in run time, so we put a Breakpoint, Hardware, on write, Dword in the direction 00EC595C, I choose a direction but under the beginning of the table so that sometimes this table moves a little upwards or downwards, therefore if the table moves bytes downwards the Breakpoint will even be in a good zone Với bảng table này, chúng ta có thể redirect lại các lệnh jumps của vùng code trong vùng memory có thể thực thi đươc, và tương hợp với các jumps của vùng code của CodeSplicing trong bất kỳ vùng nhớ nào mà chúng ta muốn chọn lựa, table này sinh ra lúc chương trình run time, vì vậy chúng ta put một Breakpoint, Hardware, on write, Dword tại direction 00EC595C, tôi chọn một direction nằm dưới điểm đầu của table do đôi khi table này dịch chuyển lên trên hay xuống dưới 1 chút, vì vậy nếu table dịch chuyển xuống dưới các bytes một chút thì bp sẽ nằm ngay tại vùng good zone tức là vùng set bp có tác dụng Let us close the Olly, we return to open it, we load ours app, we hide dbg, we give a F9 and for some times putting values sweepings, we continue pressing F9 until it stops in Chúng ta close olly, mở lại olly một lần nữa, load app vào, hide dbg, nhấn F9 và vài lần chương put các giá trị vào tại vị trí chúng ta set bp và chúng ta tiếp tục nhấn F9 cho đến khi dừng lại tại 003D4DB0 8985 4CC6FFFF MOV DWORD PTR SS:[EBP-39B4],EAX 003D4DB6 8B85 4CC6FFFF MOV EAX,DWORD PTR SS:[EBP-39B4] 003D4DBC 8B8D 2CC6FFFF MOV ECX,DWORD PTR SS:[EBP-39D4] 003D4DC2 8908 MOV DWORD PTR DS:[EAX],ECX 003D4DC4 8B85 4CC6FFFF MOV EAX,DWORD PTR SS:[EBP-39B4] 003D4DCA 83C0 04 ADD EAX,4 003D4DCD 8985 4CC6FFFF MOV DWORD PTR SS:[EBP-39B4],EAX 003D4DD3 8B85 24C6FFFF MOV EAX,DWORD PTR SS:[EBP-39DC] 003D4DD9 8B8D 08C7FFFF MOV ECX,DWORD PTR SS:[EBP-38F8] 003D4DDF 8D4401 04 LEA EAX,DWORD PTR DS:[ECX+EAX+4] . C4 14 40 00 38 EB DB 02 20 00 1C 03 A4 14 24 FD Ä@.8ë 1[ 1] . ¤$ý 00 EC5 918 D7 14 40 00 49 EB DB 02 31 00 1C 03 A6 14 24 FD ×@.Ië 1[ 1 ]1. ¦$ý 00 EC5928 F3 14 40 00 3E EB DB 02 51 00 1C 03 . 03 A2 14 24 FD ó@.>ë 1[ 1]Q. ¢$ý 00 EC5938 06 15 40 00 4B EB DB 02 6A 00 1C 03 9C 14 24 FD @.Kë 1[ 1]j. œ$ý 00 EC5948 1F 15 40 00 4B EB DB 02 8C 00 1C 03 93 14 24 FD - @.Kë 1[ 1]Œ. . đến 03 1C 000 0, 4 bytes theo sau trong zone này của memory ( 200 2DBEB) là giá trị đã được viết vào vùng đã đươc chỉ định bởi 4 bytes trước (00 4 01 4 C4) đó, kết luận lại ta có như sau 00 EC5 908