Gepackte .dll files - welche Kompression wird verwendet?

#1
Guten Tag zusammen,
ich habe hier ein Setup-Archiv aus dem ich 2 bestimmte Dateien extrahieren möchte, konkret handelt es sich um 2 .dll-Files.
Per Suche nach dem Dateinamen wurde ich im Setup-Archiv fündig, allerdings lautet die Dateiendung der Dateien dort .dat.
Die Größe der Datei stimmt etwa, allerdings scheinen die DLL-Dateien noch einmal gepackt oder verschlüsselt zu sein. Sie lassen sich jedenfalls nicht per Winrar öffnen. Durch einen Blick auf den Header der Datei im Editor kann ich leider auch nicht ausmachen um welche Kompression oder Art von Datei es sich handelt - auch das Tool "TrID" brachte keine weiteren Anhaltspunkte.

Die Datei beginnt mit der Zeichenkette
W I N 1 . 0 <£ý]Œrq›«–*¯F!íœFYíþ…þw³Ž=*¿@
«c]DAãìRÓV‚ÚzÛækó\ð2¶%Дœ&»ï²K T#º9
Ë—¬A;b°mÀ”ÎMH?³•é¯óÔij5
j•¤€+g”®Y»ØgªÏN¸¢÷d¡¥T
und ist bis dahin noch identisch mit der anderen (gepackten/verschlüsselten) DLL-Datei. Auf was könnte dieser Header WIN1.0 hindeuten?


1559365591491.png

Hat jemand noch eine Idee wie ich weiterkommen könnte?

Hier mal die beiden Dateien gezippt falls mal jemand selbst einen Blick drauf werfen möchte:
http://www.share-online.biz/dl/HDT3MESPMXI

Danke und LG
crack
 
#2
Kannst du das Programm, welches die Dateien entpackt und die Dlls in den Speicher lädt, debuggen (z.B. mit WinDBG, IDA, OllyDbg)? Im einfachsten Fall könntest du die Dlls dann einfach entpackt im RAM finden und auf die Festplatte dumpen.
 
#3
Kannst du das Programm, welches die Dateien entpackt und die Dlls in den Speicher lädt, debuggen (z.B. mit WinDBG, IDA, OllyDbg)? Im einfachsten Fall könntest du die Dlls dann einfach entpackt im RAM finden und auf die Festplatte dumpen.
Hi! Danke schonmal für die Antwort. Ja, darüber habe ich auch schon nachgedacht... die Setup-Routine wird sicherlich wissen wie diese Dateien zu verarbeiten sind. Möglich wäre es auf diese Weise bestimmt - leider fehlen mir dazu die Skills, das Setup zu veranlassen genau diese Dateien zu entpacken.
Ich dachte wahrscheinlich gibt es einen gewissen Standard der für Setup-Routinen verwendet wird und ggf. leicht von üblichen Kompressionsalgorithmen abweicht. Eigentlich glaube ich nicht dass eine Form von Verschlüsselung genutzt wurde, sondern eher ein einfacher Algorithmus der die Datei nur leicht verändert, da eben die Dateigröße im wesentlichen der Endform entspricht (eine wirkliche Kompression findet also nicht statt). Vielleicht hat ja jemand Erfahrung mit solchen Angelegenheiten bzw. weiß auf welches Format der Header WIN 1.0 hindeuten könnte.

mfg
 
Oben