Olly hata mesajı başındaki 55 push başlıyoruz
f7 call ile içine gireriz
Ollydbg script dump eder bizde ana programı Import REC ile yeni bulunan
OEP ile IAT AutoSerach----- Get Import ----- FixDump edilir ve dump edilmiş exenin üzerine kayıt edilir
Program debug edilir hata mesajına kadar gelinir ve hata mesajında debugger pause edilir. Hata mesajı stringlerde aratılır
Sonra çift tık F8 yani tek tek trace edilir F7 Call ların içine girilir ve F8 ile devam edilir
Çoklu lisans seçeneklerinde lisans stirnglerinden yukarı doğru kodları tradığımızda JE ve JMP komutlarını NOP layarak burayı aşabiliriz
Dump edilen progeam çalışmaz ise aynı dump eden programın Rebuild özelliği kullanılır
Karşılaştırma yapılan varsayılan CALL presödörünü içine girip 55 ile başlayan kodları aşağıdaki kodlar ile değiştiriyoruz
XOR EAX, EAX
MOV AL, 1
RET
Sonra
Copy to executable --- All Modicifiations---- copy all-----save file
MOVSX EAX, BYTE PTR DS:[EDI+3] = İsmin 4 karakterini alıyor
MOVSX EDX, BYTE PTR DS:[EDI+1] = İsmin 2 karakterini alıyor
ADD EAX, EDX İKİSİNİ TOPLUYOR
MOVSX EDX, BYTE PTR DS:[EDI] İSMİN İLK KARAKTERİ ALINIYOR
ADD EAX, EDX ONUDA TOPLANIYOR
SHL EDX, 5 SOLA YER DEĞİŞTİR EDX DEĞER YER DEĞİŞTİRİYOR
ADD EDX, AEAX EDX İLE EDX TOPLA
SHL EDX, 2 YİNE EDX TEKİ DEĞER YER DEĞİŞTİRDİ SOLA DOĞRU
CMP EDX, ECX ECX İLR EDX KARŞILAŞTIR
JNZ JE KARŞIĞI
JNZ JMP KARŞIĞI
