Run IEWatcher thử xem -> chương trình hiện ra cái nag -> có hai nút -> Register & Try -> click vào Register và đăng kí thử xem -> hixhix OK, bây giờ load target vào Olly -> Search for -> All referenced text strings -> và ta tìm thấy một chuỗi có giá trị sau Code: Address=00409C3C Disassembly=PUSH IEWatche.00451D7C Text string=ASCII "Register Successfully! Thank you." Doubleclick vào nó ta tới đây Code: 00409C3C . 68 7C1D4500 PUSH IEWatche.00451D7C ; ASCII "Register Successfully! Thank you." Lần xuống dưới ta thấy cái Badboy message nó nằm ở đây Code: 00409D40 . 81C4 B40B0000 ADD ESP,0BB4 00409D46 . C3 RETN 00409D47 > 55 PUSH EBP 00409D48 . 51 PUSH ECX 00409D49 . 8BCC MOV ECX,ESP 00409D4B . 896424 14 MOV DWORD PTR SS:[ESP+14],ESP 00409D4F . 68 A01D4500 PUSH IEWatche.00451DA0 ; ASCII "Invalid Registration Code." 00409D54 . E8 B784FFFF CALL IEWatche.00402210 00409D59 . E8 223E0100 CALL IEWatche.0041DB80 Từ đây ta đã có thêm chút manh mối rồi Sau khi click vào đó chúng ta đến đây Code: 004099DD . C68424 D00B000>MOV BYTE PTR SS:[ESP+BD0],4 004099E5 . E8 483C0200 CALL IEWatche.0042D632 +++++===>> set bp here 004099EA . 83C4 14 ADD ESP,14 004099ED . 85C0 TEST EAX,EAX 004099EF . 0F85 52030000 JNZ IEWatche.00409D47 +++++===>> We're here 004099F5 . 8D4424 1C LEA EAX,DWORD PTR SS:[ESP+1C] 004099F9 . 50 PUSH EAX 004099FA . E8 11730100 CALL IEWatche.00420D10 Sau khi set bp nhấn F9 để run chương trình, nhìn xuống thanh trạng thái nếu là Paused thì làm theo hướng dẫn cho tới khi là Running Olly Ice tại điểm set bp Nhìn sang cửa sổ Registers, ta thấy thanh ghi EDI lúc này đang giữ Fake Code mà ta nhập vào ==> vậy còn thanh Ghi EDX là gì nhỉ ????? -> đóng Olly thử xem -> đăng kí lại với Code là giá trị thanh ghi EDX đang giữ và Nhưng số Code này chỉ mình máy em là chương trình chấp nhận thôi, bởi vì chương trình dựa vào số Product ID của mỗi máy mà cho ra Code, vì thế để chắc ăn ta hãy NOP lệnh JNE ở 004099EF đi, sau khi NOP và save the changes -> ta hãy thoát Olly -> Run chương trình -> nhập code bất kì xem -> Vậy là xong Em có vài lưu ý cho mấy bác như sau: . EAX,EAX 00 409 9EF . 0F85 5 203 000 0 JNZ IEWatche .00 409 D47 +++++===>> We're here 00 409 9F5 . 8D4424 1C LEA EAX,DWORD PTR SS:[ESP+1C] 00 409 9F9 . 50 PUSH EAX 00 409 9FA . E8 11 73 01 0 0 CALL. SS:[ESP +14 ],ESP 00 409 D4F . 68 A01D4 500 PUSH IEWatche .00 451DA0 ; ASCII "Invalid Registration Code." 00 409 D54 . E8 B784FFFF CALL IEWatche .00 402 2 10 00 409 D59 . E8 223E 01 0 0 CALL IEWatche .00 41DB 80 Từ. Code: 00 409 D 40 . 81C4 B40B 000 0 ADD ESP,0BB4 00 409 D46 . C3 RETN 00 409 D47 > 55 PUSH EBP 00 409 D48 . 51 PUSH ECX 00 409 D49 . 8BCC MOV ECX,ESP 00 409 D4B . 896424 14 MOV DWORD PTR SS:[ESP +14 ],ESP