1.OllyDebug
2.PE Dumper (ในที่นี้ใช้ PE Tools)
3.ImportREC
*หมายเหตุ : หากต้องการหา address ชุดคำสั่งอย่างเดียว ไม่ต้องการ dump คุณสามารถใช้แค่โปรแกรมที่ 1 อย่างเดียวก็ได้ครับ เพราะ 2 กะ 3 ไม่จำเป็นสำหรับการหาและศึกษาอย่างเดียว
หวังว่าคงจะอ่านรู้เรื่องกันนะ แหะๆ
*หมายเหตุ : หากมองเห็นภาพไม่ัชัด คลิกที่รูปเพื่อดูีรูปขนาดเต็มได้ครับ
เรามาเริ่มกันเลยครับ ตอนแรก คลิกขวาที่ Audition.exe แล้วเลือก Open with OllyDbg หรือ File > Open ครับ
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhRgs-y_vSz-R23Vh_bLKVIBrxOLj55rjIXKSkXptITFZnaHOa9APeWGBX91G8zZa1W7yPm3Hl8SEpB9pTEsSDxxpv3usp2yzFGU4As_aoZXgk3mbOnJm-tw12QqjGV_MeNEBrnbUSfYVg/s320/01.jpg)
จากนั้นจะขึ้นหน้าต่าง OllyDbg มา จะเห็นว่า มี code เยอะแยะ พางง (สำหรับคนที่ไม่เป็น)
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh2JSaNY7iWJA31OHONR64lnoYA33uiB_RQ2ljR3JyBkoZciPT5fwZ2SQXtcZcDKBl6UHaMIUGRYMygMfgsfiZAg_mrgAidJyw0QCNHSZrlINg4uNn1Z5Go4vgKjQbjBcRhOENRPzhw9x4/s320/02.jpg)
จากนั้น กด F7 ทีเดียวพอครับ สังเกตุตรง ESP มันจะแดงอยู่ค่าเดียว ให้คลิกขวา แล้ว Follow in Dump ครับผม ตามรูปเลย แ้ล้วคุมดำมันจะมาอยู่ที่
MOV ESI,Audition.XXXXXXXX
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiPDbQWjC9ky7nHpIZpYdcC6AQn9XATcrWU6fltIhIKDOiuh6UWtZ79IlA1y68ObkQ9HgCoCSV2Ofj7PH_ghydICvml8JX_1CZBcbLkamzlJ71cB3F2dQNh2PC2exyGs0r5kwGcMszpB74/s320/03.jpg)
จากนั้นลองมองไปตรงช่อง Hex Dump ครับ แล้วคุมดำ 4 ไบต์แรก จากนั้น คลิกขวา เลือก Breakpoint > Hardware , on access > Dword ครับ
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEihLPB6DcnDQYwCpNfA8XPfYSAOjPpuY-bFIupn8CAw_4AbSCGkBNXQq8YuaULpgH0lP67_ttnMVdkyjvvBBKbfYlABf7XU3ljQKJ5IicR732uLdQviZtV7CgHAZoh58KpUskz48_BMV4o/s320/04.jpg)
จากนั้น กด F9 1 ที จะเจอกับคำสั่ง JMP แล้วกด Enter 1 ครั้ง จะเจอ OEP แล้วครับ -o^^o-
งงตรงใหนเม้นถามได้เลยเด้อ
แวะมาแอบอ่าน *-*
ตอบลบมันทำไรดั้ยอ่า
ตอบลบนุ๊ก ของแกนมันไม่มี Open with OllyDbg อ่ะ
ตอบลบ