Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (341.31 KB, 5 trang )
Rồi các bạn nhìn xuống một chút, chúng ta sẽ thấy 00416245 JMP EDI, Hãy đến
00416245, àh các bạn nên đặt Hardware breakpoints executation (đừng nên đặt F2
tại địa chỉ trên), và nhớ xóa các breakpoints khi mà trace xong, ta sẽ đến đoạn mã
sau:
Các bác nên F8 từng cái thì mới có được hình dạng như trên. Ta ngưng ở
00378353:
JMP 0040400F lệnh nhảy tới FALSE OEP
Ừm F7, ta tới đây:
Nếu có ai đó chưa hiện đúng như vậy thì hãy dùng chức năng plugin Analyze this!
Của OLLY.
OEP thì tại 00404000, những chỉ lệnh trên là những junk code, Chúng sẽ làm rối
mù chúng ta. Bây giờ ta tiến hành DUMP. (trong crackme này thì crackme vẫn làm
việc tốt).
3. IMPORTS
Các bạn hãy tìm chuỗi nhị phân sau: FF 25, rồi chọn đại một lệnh nhảy, Enter, các
bạn sẽ thây như sau:
Các lệnh nhảy lúc này sẽ nhảy đến những thủ tục của Obsidium.Ở đó, Obsidium
không dùng hàm GetProcAddress mà thay vào đó, những imports được lưu trữ
như:
- dll image base (handle),
- some flag (FFFFFFFF is good one),
- import code (which is 2,4,1,80, or 40),
- first character of import,
- CRC32 hash.
Obsidium sẽ lấy thông tin mà chương trình cần dùng dll, sau đó nó sẽ dùng một vài
kỹ thuật kiểm tra bên trong (đây có phải là import cần hay không,…), sau đó nó sẽ