_Tiếp theo Run thử Target _Sau đó Nhấn Ctrl+Alt+Delete để khởi động TaskBar Manager, và thấy chỉ có 1 Process đang chạy như vậy có nghĩa là không có CopyMemII, Debugblocker và Nanomites mà chỉ ở dạng Standard _ Load target vào OllyDBG và chúng ta dừng tại Entry Point : _ Trước tiên, trong Olly, chúng ta chọn menu Options/Debugging options như hình dưới đây: _Bây giờ chúng ta tìm đến OEP thật của chương trình này bằng cách Open Window [Memory map] (Alt+M), click vào section .text và set break-on-access trên section này như hình: _Press Shift+F9 , và nó sẽ dừng lại tại đây và đó chính là OEP gốc của chương trình, bạn nên ghi nhớ địa OEP=00466EAA: _chắc nhiều bạn hỏi tại sao khi set break-on-access tại section .text và nhấn Shift+F9 thì lại tới được OEP gốc. Bởi vì khi target run thì Armadillo có nhiệm vụ sẽ giải nén và giải mã dữ liệu rồi chép vào section .text, sau đó cho thực thi các chỉ thị trong section .text mà Section này chứa code của chương trình gốc. Vì vậy OEP sẽ sẽ nằm trong section này. Do đó, chúng ta sẽ set break-on-access trên section này. Mục đích để chương trình truy xuất bất cứ dữ liệu nào trong section này sẽ bị break lại và đó chính là OEP gốc của chương trình. _Tiếp theo chúng ta tiến hành Dump Full process SWFText.exe bằng LordPE thành file dumped.exe _ Open ImpRec 1.6, Chọn proccess là SWFText.exe, điền OEP= 66EAA (0x466EAA - 0x400000 = 66EAA), Press “IAT AutoSearch” , Press button “Get Imports” và press button “Show Invalid” và ta được như hình sau _Nhìn vào thì rõ ràng IAT ta đã bị Arma giấu đi một số hàm. Nhiệm vụ của chúng ta là cần tìm tới Magic Jump và patch nó nhằm có được bản IAT Full. Trong Window CPU bên dưới OEP 1 chút ta thấy hàm API kernel32.GetVersionExA. Chúng ta sẽ dump nó trong window dump of Olly.Click phải chuột trên 00466ECA, Chọn Folow in dump/Memory address như hình. Trong window dump,chúng ta set 1 breakpiont Hardware, on write / Dword tại địa chỉ address 0055946C như hình sau: . SWFText.exe bằng LordPE thành file dumped.exe _ Open ImpRec 1. 6, Chọn proccess là SWFText.exe, điền OEP= 66EAA (0x466EAA - 0x 400 000 = 66EAA), Press “IAT AutoSearch” , Press button “Get Imports”. Full. Trong Window CPU bên dưới OEP 1 chút ta thấy hàm API kernel32.GetVersionExA. Chúng ta sẽ dump nó trong window dump of Olly.Click phải chuột trên 00 466ECA, Chọn Folow in dump/Memory address. dump/Memory address như hình. Trong window dump,chúng ta set 1 breakpiont Hardware, on write / Dword tại địa chỉ address 00 55946C như hình sau: