Đây có thể là sự bắt chước ASPack. Nhưng trước đây những soft khác của cty này không xuất hiện theo cách này … hơn là chỉ một lệnh PUSHAD. Như vậy mục đích của chúng ta là đi tìm OEP của real exe. Để làm việc này chúng ta sẽ sử dụng stack cho sự trợ giúp, thay vì trace bằng tay cho từng bit. Thực hiện lệnh PUSHAD bằng cách nhấn F7 và sau đó sẽ dump tại giá trị của thanh ghi ESP và đặt BreakPoint tại Hardware BP on Access WORD Dump tại giá trị ESP Tiếp đó lựa chọn 2 byte trong cửa sổ memory, và set HW BP on ACCESS WORD Bây giờ ta nhấn F9 để Olly break tại BP Nhấn F9 lần nữa sẽ Break tại encryption layer tiếp theo Bây giờ nhìn đoạn mã rất giống với ASPack Nhấn F9 một lần nữa, chúng ta sẽ tới đây : Nhấn 2 lần F7 để thực hiện lệnh JNZ và lệnh RETN, chúng ta sẽ tới OEP của file real exe : Yeah OEP= 005C3BA4h, tại đây ta có thể tiến hành dump một cách an toàn nhờ sử dụng Plug của Olly (OllyDump) và sau đó tiến hành gắn its import vào nó Sau đó chỉ việc save nó với tên gì tùy ý bạn. Sau đó khởi động IMPREC tìm kiếm IAT Select our process and attach IMPREC to it. Then enter in our OEP (005C3BA4 - 00400000 = 1C3BA4) So in OEP box type in "1C3BA4" then click "IAT Autosearch" . Select our process and attach IMPREC to it. Then enter in our OEP (00 5C3BA4 - 00 400 000 = 1C3BA4) So in OEP box type in "1C3BA4" then click "IAT Autosearch" . F7 để thực hiện lệnh JNZ và lệnh RETN, chúng ta sẽ tới OEP của file real exe : Yeah OEP= 00 5C3BA4h, tại đây ta có thể tiến hành dump một cách an toàn nhờ sử dụng Plug của Olly (OllyDump)