/hvaonline/posts/list/36.html JForum - http://www.jforum.net http://www.mediafire.com/?bhba9s7a3oit48t Mình xem nó bảo về bằng CreateToolhelp32Snapshot. và đã patch theo hường dẫn của REA ví dụ:77E92ED1 > 55 PUSH EBP 77E92ED2 8BEC MOV EBP,ESP .......... ở đây có một số dòng .......... 77E92F33 8BF0 MOV ESI,EAX 77E92F35 85F6 TEST ESI,ESI 77E92F37 0F8C F4E50000 JL kernel32.77EA1531 77E92F3D 8B45 0C MOV EAX,DWORD PTR SS:[EBP+C] 77E92F40 5E POP ESI 77E92F41 C9 LEAVE 77E92F42 C2 0800 RETN 8 ta cần kill API này , thay đổi như sau 77E92ED1 > 55 PUSH EBP 77E92ED2 5D POP EBP 77E92ED3 33C0 XOR EAX,EAX 77E92ED5 C2 0800 RETN 8 77E92ED1 > 55 PUSH EBP 77E92ED2 8BEC MOV EBP,ESP .......... ở đây có một số dòng .......... 77E92F33 8BF0 MOV ESI,EAX 77E92F35 85F6 TEST ESI,ESI 77E92F37 0F8C F4E50000 JL kernel32.77EA1531 77E92F3D 8B45 0C MOV EAX,DWORD PTR SS:[EBP+C] 77E92F40 5E POP ESI 77E92F41 C9 LEAVE 77E92F42 C2 0800 RETN 8 ta cần kill API này , thay đổi như sau 77E92ED1 > 55 PUSH EBP 77E92ED2 5D POP EBP 77E92ED3 33C0 XOR EAX,EAX 77E92ED5 C2 0800 RETN 8 chọn Plugins/IsDebugPresent/Hide , nhấn F9 để run , nhấn Alt+M để bật cửa sổ Memory map ... kiếm đoạn có Owner là ColorPic , Contains là code , right click chọn Set memory breakpoint on access ... đóng cửa sổ , trở lại OllyDbg , nhấn Shift+F9 một lần duy nhất ta sẽ đến ngay OEP... Nhưng sau khi chạy thì Shift+F9 một lúc nó terminalted chương trình luôn . Mong anh em giúp đỡ trảm thằng này phát. Sau khi trảm xong anh em cho biết hướng đi tiếp theo là patch hay la dùng serial luôn. Thanks ]]> /hvaonline/posts/list/38465.html#236068 /hvaonline/posts/list/38465.html#236068 GMT