OK phát, nhớ là trước đó ,trong Option của Import phải uncheck cái này nhé : Vì sao phải thế thì trong Tut Armadillo_DLL_Unpacking_n_More đã bàn tới . Điền OEP = 1000 ,nhấn IAT Auto Search Get Import . Tiếp tục nhấn Show Invalid , ở đây có vài giá trị invalid : Nếu theo tut của MaDMAn_H3rCuL3s thì ta nên chọn Dissamble/ Hex View tại từng giá trị Invalid của module này để tìm chính xác các IAT bị Hide .Nhưng ko biết lão ta có lầm hay ko ,ở đây Mole hầu như vẫn chưa can thiệp gì vào việc Hide/Eliminate IAT cả .Và để chắc ăn ,các bạn có thể kiểm tra bằng cách kiếm một bản msvcp60.dll khác (đây ko phải là module thiết kế riêng cho Mole, nó là module dành cho các app code bằng C++) . Phiên bản mà Mole 2.6 dùng là 6.0.8972.0, tuy nhiên chỉ cần so với phiên bản 6.0.8168.0 ta cũng thấy rằng ko có thêm IAT nào tại các vị trí trên .Do đó an tâm mà Cut Thunk(s) tất cả : Sau đó thì fix Dump được rồi : Thế vẫn chưa xong với Module này đâu ,nên nhớ khi unpack 1 DLL thì ngoài OEP, IAT ,cái quan trọng thứ ba chính là Relocation và ImageBase .Tại sao thì bạn coi tut Armadillo_DLL_Unpacking_n_More ,trong đó trick cũng trình bày vài khái niệm cơ bản để unpack 1 file DLL . Trước hết là Imagebase, ta xem đã Dump file tại ImageBase nào , quay lại memory map trong Olly : Địa chỉ đầu tiên load PE Header của module cũng chính là ImageBase cần tìm , vậy IM = 780C0000 .Dùng PE Editor của LordPE để mở file đã fix Dump khi nãy : Vậy ko cần chỉnh sửa thêm ,IM trong memory cũng là IM mặc định của file .Nhưng vẫn còn Relocation ,nhấn vào nút Sections ngay bên phải : 5E000 chính là nơi bắt đầu của section chứa Relocation ,kế bên là size thật của nó .Cẩn thận thì ta nên xác định lại trong memory cho chắc ăn . Ta thấy relocation bắt đầu ở : 7811E000 – IM: 780C0000 = 5E000 . Và kết thúc ở : 78120CF0 – 7811E000 = 2CF0 . Như thế là địa chỉ bắt đầu và Size của Relocation đều chính xác .Quay lại PE Editor, Close phần section ,chọn tiếp Directories : Nơi khoanh vùng cần phải sửa lại , nạp Offset và Size đã tìm được ở trên vào : Save rồi lại Save .Đổi tên file Fix Dump lại thành tên gốc của nó : msvcp60.dll .Thế là xong module đầu tiên rồi đấy .Ta trở lại Olly và tiếp tục từ điểm dừng trước đó : Nhớ rằng đã set bp VirtualProtect trước đó, giờ ta bỏ nó đi bằng bc VirtualProtect .Nếu BP ban đầu set tại CreateFileA vẫn còn thì bạn hãy nhấn Shift- F9 ,Olly sẽ break và dòm xuống Stack để tóm module thứ 2: . chắc ăn . Ta thấy relocation bắt đầu ở : 7 811 E 000 – IM: 780C 000 0 = 5E 000 . Và kết thúc ở : 7 812 0CF0 – 7 811 E 000 = 2CF0 . Như thế là địa chỉ bắt đầu và Size của Relocation đều chính. 5E 000 chính là nơi bắt đầu của section chứa Relocation ,kế bên là size thật của nó .Cẩn thận thì ta nên xác định lại trong memory cho chắc ăn . Ta thấy relocation bắt đầu ở : 7 811 E 000 . msvcp 60. dll khác (đây ko phải là module thiết kế riêng cho Mole, nó là module dành cho các app code bằng C++) . Phiên bản mà Mole 2.6 dùng là 6 .0. 8972 .0, tuy nhiên chỉ cần so với phiên bản 6 .0. 816 8.0