Khà khà ,nó đó bà con .Bỏ BP tại CreateFileA đi .Set bp GetSystemTimeAsFileTime : Shift-F9 1 phát ,Break ,và nhấn thêm 1 phát ,Break tiếp cũng tại đầu hàm : Đừng bỏ BP đi .Ctrl-F9 tới RETN 4 rồi trace Return khỏi hàm này ,ta tới đây : Follow value in Dump tại đây : Nhớ là địa chỉ D90090 trên máy trick sẽ khác trên máy bạn nhé . Hừm hừm ,chỗ dữ liệu này sao giống PE header wá vậy chòi .Vậy file bootup này theo suy đoán thì nó có header như header của 1 file PE .Nhưng đây chỉ là 1 ít của phần header thôi ,chưa phải vùng memory lưu cả file mbox2_bootupltdemo .Một hồi nó sẽ decrypt ra phần Byte đầy đủ của file này qua 1 vùng nhớ khác .Giờ ta đặt 1 BP memory on access lên Byte đầu tiên : Nhấn Shift-F9 để Break ngay lúc nó access tới Byte trên trong lúc decrypt ra file bootup : Thực hiện một Trace F7 tại câu lệnh trên ,sau đó Follow address in Dump tại đây : Không cần thiết nhưng cũng phải nhắc là địa chỉ trên ở máy bạn sẽ lại khác đó nhé , còn đây là các Byte dump trong memory: Lại thực hiện 1 Trace F7 tiếp thì thấy : Đúng là nó đang move các Byte từ D90090 sang 1642C8 ,nếu cứ nhấn F7 tiếp sẽ thấy rõ quá trình trên .Nhưng ta ko mất thời gian vô ích ,Trace F8 1 phát cho nó lẹ : Các Byte đã move vào khá nhiều : Nhưng làm sao biết chính xác độ dài Byte đã move vào ,nhìn xuống đây là thấy ngay : Tức địa chỉ kết thúc của quá trình move sẽ là 1642C8 + 10000 = 1742C8 ,ta Go to tới nó trong phần Dump : Vẫn còn 1 đống rác phía dưới .Có vẻ quá trình move này vẫn chưa hoàn thành .Tiếp tục Trace F8 cho tới đây : Hè hè : 16000 mới chính là size thật của file bootup này .Tức còn 6000 Byte chưa xử lý xong . Shift-F9 tiếp 2 phát để break 2 lần tại GetSystemTimeAsFileTime .Sau đó trace wa RETN 4 để quay về đây : Tương tự như trên ,ta tìm nơi tiếp theo chuẩn bị move Byte: Cũng set BP memory on access lên Byte đầu của vùng này : Shift-F9 ,break : . ngay : Tức địa chỉ kết thúc của quá trình move sẽ là 16 42C8 + 10 000 = 17 42C8 ,ta Go to tới nó trong phần Dump : Vẫn còn 1 đống rác phía dưới .Có vẻ quá trình move này vẫn chưa hoàn. hoàn thành .Tiếp tục Trace F8 cho tới đây : Hè hè : 16 00 0 mới chính là size thật của file bootup này .Tức còn 600 0 Byte chưa xử lý xong . Shift-F9 tiếp 2 phát để break 2 lần tại. thực hiện 1 Trace F7 tiếp thì thấy : Đúng là nó đang move các Byte từ D 900 90 sang 16 42C8 ,nếu cứ nhấn F7 tiếp sẽ thấy rõ quá trình trên .Nhưng ta ko mất thời gian vô ích ,Trace F8 1 phát