User Name : kienmanowar Serial : 680496079 Cảm ơn các bạn đã đọc bài viết này của tôi. Các bạn cứ chân thành góp ý để bài sau tốt hơn. Thanx.!!!!!!!!!! :) Chán quá, Chán thiệt…. Working with Import Tables (part 2) Trong phần này chúng ta sẽ thực hiện dump tiến trình từ trong bộ nhớ và thực hiện sửa Bảng IMPORT “bằng tay” . Rồi sau đó, chúng ta sẽ tạo một scripts để công việc trở nên đơn giản hơn. Tôi đã đóng gói Cruehead crackme với UPX 1.25, trở thành file CRACKMEUPX.EXE để chúng ta thực hành. OK, Chúng ta chắc có lẽ cũng đã biết cách “gặt hái” OEP chứ. Ưm, nếu có ai chưa biết, bạn hãy dùng phương thức PUSHAD. Phương thức này như sau: 1) Mở CRACKME trong OLLY. Phương thức PUSHAD bao gồm việc tìm kiếm lệnh PUSHAD, nó nằm ở những dòng đầu tiên của một vài các PACKERS (trình Đóng Gói) và hãy thực thi nó với F8. 2) Rồi, bạn hãy tìm Thanh Ghi ESP và CLICK PHải chuột chọn FOLLOW IN DUMP 3) Sau đó chúng ta hãy nhìn trong cửa sổ DUMP rồi Click phải chuột chọn Breakpoint-HARDWARE ON ACCESS -> DWORD. Nếu cần thiết, bạn có thể dùng Plugin IsDebuggerPresent để chống lại sự phát hiện của Trình Debugger sau đó run. Chúng ta sẽ thấy Olly ngưng ở một lệnh nhảy tới OEP. Rồi F8 và chúng ta ở OEP. Giờ thì ta tới được OEP 00401000 NẾu nhớ lại CRACKME trong tut 1 thì OEP này trùng với OEP của file lúc chưa bị packed. Giờ chúng ta sẽ dump nhưng dừng dùng OLLYDMP để chỉnh sửa lại Import Table. Tôi sẽ sử dụng Dumper của Plugin IsDug để tạo một file dump và sẽ chỉnh sửa bằng tay. Chọn như sau: Sau đó nó sẽ hỏi bản ImageBase và kích cỡ của ảnh file, vì thế trước khi nó hỏi thì chúng ta nên tìm cho ra những giá trị đó, chọn VIEW - > Executable modules (ALT+E): Ừm, trong hình trên, chúng ta thấy BASE là 0040000, và kích cỡ là 0B000 ( bạn nhớ có số 0 đằng trước B000 vì Olly có vấn đề với ký tự đầu tiên là chữ) Sau đó chọn Dump. BẠn hãy chọn tên file cần dump , ừm nhớ có thêm phần mở rộng .exe Rồi, chúng ta có một file không có biểu tượng vì nó không có một định dạng đúng Chúng ta có thể chỉnh sửa nó với Peeditor với việc chọn option FIXDUMP để sắp sếp lại các section. Chọn Sections trong Peeditor, chúng ta có: Trên hình biểu thị những section đã được dump mà chưa được sắp xếp lại một cách chính xác. Click phải chuột chọn section tên UPX0, chọn như sau: Chọn DumpFixer, rồi tiếp tục. . modules (ALT+E): Ừm, trong hình trên, chúng ta thấy BASE là 00 400 00, và kích cỡ là 0B 000 ( bạn nhớ có số 0 đằng trước B 000 vì Olly có vấn đề với ký tự đầu tiên là chữ) Sau đó chọn Dump một lệnh nhảy tới OEP. Rồi F8 và chúng ta ở OEP. Giờ thì ta tới được OEP 00 4 01 0 00 NẾu nhớ lại CRACKME trong tut 1 thì OEP này trùng với OEP của file lúc chưa bị packed. Giờ chúng ta sẽ. Serial : 6 804 9 607 9 Cảm ơn các bạn đã đọc bài viết này của tôi. Các bạn cứ chân thành góp ý để bài sau tốt hơn. Thanx.!!!!!!!!!! :) Chán quá, Chán thiệt…. Working with Import Tables (part 2)