Xóa BP tại VirtualProtect đi nhé ,cả MBOA tại section này luôn. Dùng LordPE để dump : Tiếp tới là ImportREC, do IAT đã ko bị hủy nữa nên dĩ nhiên là All Valid: Tương tự như module đầu tiên ,ta phải tiến hành sửa lại ImageBase và Relocation . Vậy Imagebase = F10000 (máy các bạn có thể khác nhé ) Relocation bắt đầu ở : F31000 – F10000 = 21000. Và kết thúc ở F32148 nên size = F32148 – F31000 = 1148. Đừng hỏi tại sao biết chính xác như thế nhé ,ở đây relocation ko bị hủy sau khi tới OEP như các packer ASPack hay UPX và với thói quen thì dễ dàng nhận ra nơi Start và End thôi .Chúng ta ko đào sâu vào cấu trúc relocation làm gì . Lại dùng LordPE để fix những thông tin trên :   Đổi name file lại : MSkinCore.dll .Vậy là xong luôn module thứ 2 .Giờ ta phải chắc là đã bỏ hết các BP đi ,chỉ giữ mỗi BP tại câu lệnh ta set lúc đầu ,khi tới EP của MoleBox layer : Shift-F9 một phát ,đến lượt code của file chính được unpack và break : Bỏ BP đi ,và Trace F7 chui vào ,dừng ngay tại OEP : Dump LordPE .Sau đó Open ImportREC để fix IAT : Đừng thấy ko có Invalid nào cũng ko thắc mắc nhé ,thật ra có cũng có hủy IAT ở đây đấy ,nhưng dòng lệnh hủy cũng cùng 1 chỗ như ta đã fix ở trên .Do đó hiển nhiên là Valid All . B – Fix Dump File : Bây giờ vẫn giữ nguyên cửa sổ Olly khi dừng tại OEP sau cùng .Chạy file đã fix Dump trong cùng folder với 2 module đã extract ra xem sao : Cái này thì ai cũng biết là lỗi loại gì rồi đúng ko? Thông báo trên chính là của 1 đoạn SEH trong mole. Nếu trong quá trình unpack, ta đã làm đúng hết các bước thì khi gặp loại lỗi này ,chỉ có cách Trace từ từ để tìm ra nơi phát sinh lỗi .Close thông báo trên và load file fix dump này vào 1 Olly khác : Đồng thời lúc này ta vẫn còn 1 Olly trước đang dừng tại OEP của file gốc. Tạm gọi Olly đó là Olly (1) và Olly mở file fix dump là Olly (2) nhé .Cách thức tìm ra lỗi là trace ở Olly (2), khi gặp vị trí gây lỗi thì ta quay qua Olly (1) ,trace tới cùng vị trí để xem giá trị tại đó như thế nào ? Từ đó so sánh và tìm ra cách khắc phục. Cách trace thường dùng là Ctrl-F8 để đi tìm hàm CALL nào gọi vào nơi gây lỗi , nhấn 1 phát đi nào ,ta sẽ phải đi vào 1 vòng lặp : Ngay lập tức nhấn F12 để Pause, tìm vị trí kết thúc vòng lặp ,kéo xuống 1 tí ,set một BP tại: . Vậy Imagebase = F 100 00 (máy các bạn có thể khác nhé ) Relocation bắt đầu ở : F 3 10 00 – F 100 00 = 2 10 00. Và kết thúc ở F3 214 8 nên size = F3 214 8 – F 3 10 00 = 11 48. Đừng hỏi tại sao. trên và load file fix dump này vào 1 Olly khác : Đồng thời lúc này ta vẫn còn 1 Olly trước đang dừng tại OEP của file gốc. Tạm gọi Olly đó là Olly (1) và Olly mở file fix dump là Olly. gây lỗi , nhấn 1 phát đi nào ,ta sẽ phải đi vào 1 vòng lặp : Ngay lập tức nhấn F12 để Pause, tìm vị trí kết thúc vòng lặp ,kéo xuống 1 tí ,set một BP tại: