Khi chúng ta chạy crackme và nhấn nút Check thì không thấy hoạt động. Trong rule.txt kèm theo crackme chúng ta thấy có nhiệm vụ phải Enable button Check. Chúng ta sẽ dùng ExeScope để thực hiện nhiệm vụ nghe có vẻ như phức tạp này. Dùng ExeScope mở file dump_.exe. Trong phần Resource -> RCData -> Tform1 chúng ta thấy như sau : Các bạn chú ý chỗ tô vàng. Chúng ta sẽ sửa lại thành True. Lưu file và đóng ExeScope. Chạy lại dump_.exe. Nhấn nút Check. Vậy là xong. Chúc vui vẻ. tlandn I. Introduction: Về phương pháp Unpack Armadillo 4.xx thì loạt Tut của anh Hacnho đã chỉ dẫn rất cặn kẽ. Nhưng để thành công thì bạn cần có sự kiên nhẫn và lòng đam mê. Hôm nay, Em xin giới thiệu các tool có sẵn để Unpack nhanh các Soft pack bằng Armadillo mà ko cần phải OllyDBG với nhiều câu lệnh phức tạp mà vẫn thành công. Tut này viết giành riêng cho Newbie nên mấy đại ca Try Arma bỏ qua hen!! Hiện nay, chúng ta tạm có 2 tool hỗ trợ Unpack Armadillo đó là: ArmaDumper 1.0 by Avatar: tool này hỗ trợ unpack dạng Standard Protection+ Code Splicing+ IAT Elimination lâu lâu còn luộc được Debug blocker Nhưng với Copy Mem II thì bó tay hoàn toàn ArmadilloDumpers by Deroko: Còn Tool này thì Đã lém các Bác xem: Debug Blocker and Copy Mem II dumpers dumper1.exe - Debug Blocker oep locator and import fixer dumper2.exe - Copy Mem II dumper and import fixer If you have codesplices or Eliminated IAT use ArmInline to fix em. Both dumpers are console applications. usage: dumper1 progy.exe dumper2 progy.exe II. Tools:  Tool cần dùng  Armadillo FindProtected V1.2  ArmadilloDumpers by deroko  ImportREC 1.6  ArmInline v0.95  PEiD 0.94  CFF Explorer IV  OllyDGB 1.1  Target: Ace Utilitie 3.0 (Standard Protection) hxxp://www.acelogix.com/ Automation Anywhere 2.52 (CopyMemII + Debugblocker+ Nanomites) hxxp://www.tethyssolutions.com/ III. Unpacking: #TUT1: Sử dụng ArmaDumper 1.0 by Avatar _ Đầu tiên chúng ta sử em Ace Utilitie 3.0. Dùng PEiD 0.94 quét coi Soft có bị pack hay ko và pack loại nào? _Như vậy là ta đã xác định được Soft được Pack bằng Armadillo. Để biết chính xác trong File Pack có tùy chọn Standard Protection hay CopyMemII + Debugblocker…để biết đường mà unpack thì chúng ta dùng Armadillo FindProtected V1.3 _Hehe dạy là Cu này chỉ có Standard Protection. Nói thêm, Tool này còn có khả năng Detach Debugblocker (nếu có) giống ArmaDetach 1.1. _Giờ thì chạy ArmaDumper 1.0 và chọn như hình dưới . usage: dumper1 progy.exe dumper2 progy.exe II. Tools:  Tool cần dùng  Armadillo FindProtected V1.2  ArmadilloDumpers by deroko  ImportREC 1. 6  ArmInline v0.95  PEiD 0. 94  CFF. hxxp://www.tethyssolutions.com/ III. Unpacking: #TUT1: Sử dụng ArmaDumper 1. 0 by Avatar _ Đầu tiên chúng ta sử em Ace Utilitie 3 .0. Dùng PEiD 0. 94 quét coi Soft có bị pack hay ko và pack loại. FindProtected V1.3 _Hehe dạy là Cu này chỉ có Standard Protection. Nói thêm, Tool này còn có khả năng Detach Debugblocker (nếu có) giống ArmaDetach 1. 1. _Giờ thì chạy ArmaDumper 1. 0 và chọn