1.OllyDebug
2.PE Dumper (ในที่นี้ใช้ PE Tools)
3.ImportREC
*หมายเหตุ : หากต้องการหา address ชุดคำสั่งอย่างเดียว ไม่ต้องการ dump คุณสามารถใช้แค่โปรแกรมที่ 1 อย่างเดียวก็ได้ครับ เพราะ 2 กะ 3 ไม่จำเป็นสำหรับการหาและศึกษาอย่างเดียว
หวังว่าคงจะอ่านรู้เรื่องกันนะ แหะๆ
*หมายเหตุ : หากมองเห็นภาพไม่ัชัด คลิกที่รูปเพื่อดูีรูปขนาดเต็มได้ครับ
เรามาเริ่มกันเลยครับ ตอนแรก คลิกขวาที่ Audition.exe แล้วเลือก Open with OllyDbg หรือ File > Open ครับ
จากนั้นจะขึ้นหน้าต่าง OllyDbg มา จะเห็นว่า มี code เยอะแยะ พางง (สำหรับคนที่ไม่เป็น)
จากนั้น กด F7 ทีเดียวพอครับ สังเกตุตรง ESP มันจะแดงอยู่ค่าเดียว ให้คลิกขวา แล้ว Follow in Dump ครับผม ตามรูปเลย แ้ล้วคุมดำมันจะมาอยู่ที่
MOV ESI,Audition.XXXXXXXX
จากนั้นลองมองไปตรงช่อง Hex Dump ครับ แล้วคุมดำ 4 ไบต์แรก จากนั้น คลิกขวา เลือก Breakpoint > Hardware , on access > Dword ครับ
จากนั้น กด F9 1 ที จะเจอกับคำสั่ง JMP แล้วกด Enter 1 ครั้ง จะเจอ OEP แล้วครับ -o^^o-
งงตรงใหนเม้นถามได้เลยเด้อ
