Các bác nên copy những byte này vô 1 file là IATable.bin để phòng sau này có việc hay là lần unpack sau đỡ phải fix magic jump, chỉ cần copy byte và paste vô bảng IAT là xong. _ Trước khi paste bảng IAT : Và sau khi paste: _ Vậy là đã xong 1 bước, các điều kiện để xài ArmInline đã xong : PID : Start of Target Code: 404000 Length of Target Code: 2000 Base of Existing IAT: (của em là 3C855B) Len = 280 New base: 004060CF (thuộc section .data, vùng này trống nhiều, rebase vào đấy tí nữa loại lun mấy section kia cho rảnh nợ) => Rebase, và được kết quả như sau: _ Vậy là xong anh IAT elimination, còn bây giờ đến bác CodeSplicing (ảnh minh họa ở đây địa chỉ codeSplicing ko giống trên, các bác thông cảm cái =.= ). Code Splicing: _ Đến đây cũng có 3 cách : dump memory, Use ArmInline (bị lỗi) , và cách của Tomo (use ArmTools). Nhưng trước khi đi vào từng cách thì ta làm các bước sau (làm xong cũng ko close Olly nha): _ dump full process by using LordPE; dump vùng nhớ code splicing (của em là 33B0000 ) ra file .mem, _ Fix dump với ImportREC. Save tree vô 1 file là tree.txt. Trước khi làm tiếp các bác copy thêm 1 bản sao nữa của file dumped_.exe (để dùng cho cách sau) Cách 1 : thêm vùng nhớ .mem trên vô file dumped_.exe, rebuildPE (tham kh ảo tut của bác Why not bar) . xong 1 bước, các điều kiện để xài ArmInline đã xong : PID : Start of Target Code: 404 000 Length of Target Code: 200 0 Base of Existing IAT: (của em là 3C855B) Len = 2 80 New base: 00 406 0CF. nhớ code splicing (của em là 33B 000 0 ) ra file .mem, _ Fix dump với ImportREC. Save tree vô 1 file là tree.txt. Trước khi làm tiếp các bác copy thêm 1 bản sao nữa của file dumped_.exe. Các bác nên copy những byte này vô 1 file là IATable.bin để phòng sau này có việc hay là lần unpack sau đỡ phải fix magic jump, chỉ