Sau đó nhấn F8 và Trace qua lệnh RETN chúng ta thấy giá trị của AL vẫn là 1 không hề thay đổi . Khà khà đúng như chúng ta mong đợi. Và sau khi thực hiện xong lênh RETN chúng ta quay trở về và tiếp tuc quá trình lưu thông tin đăng kí vào Registry : ) Vậy là chúng ta đã thành công, nhấn F9 để Run chương trình , chúng ta sẽ thấy như sau : Giữ nguyên như thế , chúng ta quay trở lai Olly và thực hiện công việc cuối cùng là lưu tất cả những gì chúng ta chỉnh sửa lại . Để thực hiện điềun này , tại màn hình chính của Olly chúng ta nhấn chuột phải và chọn Copy to Executable > All Modifications , sau đó chọn tiếp Copy All . Một cửa sổ mới hiện ra , nhấn chuột phải trên cửa sổ này và chúng ta chọn Save File . Đặt một cái tên bất kì ở đây tôi đặt là SplitterFixed.exe Và bây giớ chúng ta hoàn toàn có thể đóng Olly lại được rồi. Tiến hành Test lại những gì mà chúng ta vừa làm . Run file SplitterFixed.exe và nhập thông tin vào, nhấn OK. Chương trình yêu cầu Restart lại đồng ý thôi, sau đó Run lại và vào menu About chúng ta thấy như sau : III. Creating a Patch : Công việc cuối cùng bây giớ là chúng ta tạo một Patch file cho packed file . Điều này là hết sức cần thiết. Ở đây tôi sẽ sử dụng một chương trình tạo Patch file rất nổi tiếng là Diablos2oo2 Universal Patcher, or DUP . Oki chúng ta mở chương trình này lên, sau khi tiến hành nhập đầy đủ các thông số trên Tab Patcher Settings như Application Name, Target Filename v v Chúng ta chuyển qua một Tab rất quan trọng là Offset Patch . Đầu tiên bạn chọn Virtual Address Mode (this allows us to patch the executable based on the offsets of the program when it is loaded into memory). Đối với mục Original File chúng ta chọn SplitterDump_.exe còn Patched file chúng ta chọn là SplitterFixed.exe . Sau đó chúng ta nhấn vào nút Compare , chương trình sẽ list ra những bytes đã được thay đổi. Điều mà ta cần bây giờ là đưa cho chương trình Patcher này thông tin về packed file gốc. Do đó chúng ta nhấn Get It và chọn Splitter.exe Và cuối cùng chúng ta nhấn Creat Patch để tạo Patch File , đặt tên bất kì bạn muốn. : ) Vậy là xong , cuối cùng chúng ta cũng hòan thành được hai việc Unpacking và Patching chương trình này. Giờ chỉ còn mỗi một việc là đem sản phầm của chúng ta release cho bạn bè xài thôi : ) : End Tut : 18/05/2005 ++ ==[ Greatz Thanks To ]== ++ - Thank to my family, Computer_Angel, Moonbaby , Zombie_Deathman, Littleboy, Benina, QHQCrker, the_Lighthouse, Hoadongnoi, Nini all REA‘s members, HacNho,RongChauA,Deux, tlandn, dqtln , ARTEAM all my friend, and YOU. >>>> If you have any suggestions, comments or corrections email me: kienbigmummy[at]gmail.com I. Introduction: Chúng ta sẽ unpack version 2.79 betad của PECompact (www.bitsum.com ) . HI vọng rằng, sau khi đọc bài hướng dẫn này, các bạn sẽ có sự hiểu biết nhiều hơn về các thức hoạt động của PECompact và có được cách để unpack nó. Sau đó, các bạn có thể tìm kiếm một target được bảo vệ bởi version này và unpack, rebuild nó với những option cao cấp. Công cụ cần thiết: Olly (plugin Ollydump) Imprec. 2.Unpack: Đích của chúng ta là version mới nhấtt PECompact v2.79. beta d Hãy “mở lửa” cho Olly. PECompact không dùng bất ký một kỹ thuật chống debug nào, nhưng chúng ta hãy cứ chọn lựa như sau: Sau khi làm như trên, các bạn hãy mở PECompact2 GUI, Bạn nên tìm ra được EntryPoint sau: Giờ, tôi sẽ nói một ít về PECompact sẽ unpack bản thân nó như thế nào. Đầu tiên, bạn sẽ phải chú ý rằng EntryPoint của chúng ta được định vị tại section text của chương trình. Hãy nhìn vào Map Memory: PECompact vừa mới ghi trình loader của nó vào trong section chính của tiến trình đang chạy. Điều này có ý nghĩa gì khi ta unpack nó? Nó có nghĩa rằng ở một vài điểm thực thi của PECompact trong quá tình nó unpack file gốc một cách chính . mỗi một việc là đem sản phầm của chúng ta release cho bạn bè xài thôi : ) : End Tut : 18 /05 / 200 5 ++ ==[ Greatz Thanks To ]== ++ - Thank to my family, Computer_Angel, Moonbaby ,. Sau đó nhấn F8 và Trace qua lệnh RETN chúng ta thấy giá trị của AL vẫn là 1 không hề thay đổi . Khà khà đúng như chúng ta mong đợi. Và sau khi thực hiện xong lênh RETN