_ Chú ý địa chỉ 12EB54, vô dump window, Ctrl + G, nhập 0012eb54. Xóa bp đi, gõ bp WriteProcessMemory, F9, Olly break: _ Ta được OEP = 404000, bắt đầu ghi tại address 404000 của child, buffer bắt đầu tại 003D1DD0 của father. Ta patch 2 byte trong buffer sẽ ghi vô OEP để process child chạy như trâu đến OEP thì d ừng lại chờ ta thịt. Trong Dump Window, Ctrl + G, nhập vô 003D1DD0, Ctrl + E: _patch thành EBFE (Các bác nhớ 2 byte đã patch là 9BDB nhé) _ Trong stack window, cuộn xuống tìm thấy dòng return đầu tiên : _ …( mệt quá) tìm được magic call: _ nop lệnh call này: _ Xóa tất cả Bp, gõ bp WaitForDebugEvent, F9, Olly break, Follow in Disassembler, New origin here tại 42aaf7 , Ctrl + A: _ Nop hết, patch sạch, kết quả là : _ Đến 00401000, patch thành: Lý do: _ trong dump window patch thành: _ Đặt hardware Breakpoint on execution vô 40102e, F9, olly break: _ bây giờ thì c ắt đứt quan hệ cha con, Push Childprocess’s ID, call DebugActiveProcessStop … : . Chú ý địa chỉ 12 EB54, vô dump window, Ctrl + G, nhập 0 012 eb54. Xóa bp đi, gõ bp WriteProcessMemory, F9, Olly break: _ Ta được OEP = 404 000 , bắt đầu ghi tại address 404 000 của child, buffer. sạch, kết quả là : _ Đến 00 4 01 0 00 , patch thành: Lý do: _ trong dump window patch thành: _ Đặt hardware Breakpoint on execution vô 4 01 0 2e, F9, olly break: _. đầu tại 00 3D1DD0 của father. Ta patch 2 byte trong buffer sẽ ghi vô OEP để process child chạy như trâu đến OEP thì d ừng lại chờ ta thịt. Trong Dump Window, Ctrl + G, nhập vô 00 3D1DD0, Ctrl