Русский / Russian English / Английский

Сейчас на форуме: ARCHANGEL, rmn, HaRpY (+4 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› WorldWide —› Unknown code protection
Посл.ответ Сообщение

Ранг: 0.9 (гость)
Статус: Участник

Создано: 6 сентября 2012 06:25 New!
Цитата · Личное сообщение · #1

I have been trying to figure out what is protecting the d3d9.dll wrapper that is attached. Originally I thought it was modified UPX.
I noticed the unpacking opcodes were not what I expected so I searched for clues around
100F8FB7 8D4424 80 LEA EAX,DWORD PTR SS:[ESP-80]
100F8FBB 6A 00 PUSH 0
100F8FBF ^75 FA JNZ SHORT d3d9.100F8FBB
100F8FC1 83EC 80 SUB ESP,-80
100F8FC4 -E9 9952F3FF JMP d3d9.1002E262

searching the internet I found mention of vmprotect and or virustotal indicates a possible match of yodacrypt or pack. (

It has been a while since I have come across a protected binary that Pe Explorer/Ollydbg/imprec/lordpe hasn't worked on. Can you help me figure out what the protection is?

{ Атач доступен только для участников форума } -

Ранг: 158.5 (ветеран)
Статус: Участник

Создано: 6 сентября 2012 06:33 · Поправил: ZaZa New!
Цитата · Личное сообщение · #2

ACProtect 1.3x-1.4x DLL -> Risco Software Inc. (DiE says...)

My file d3d9.dll (1689088 bytes). In your: 460 kB...

NikolayD writes:
UPX modified...

Agree... OEP: 0002E262

Ранг: 0.9 (гость)
Статус: Участник

Создано: 6 сентября 2012 06:39 New!
Цитата · Личное сообщение · #3

Thank you very much zaza for the quick reply. I will see if I can unpack it assuming it is acprotect and will report back when I have success.

Ранг: 189.9 (ветеран)
Статус: Участник

Создано: 6 сентября 2012 08:50 New!
Цитата · Личное сообщение · #4

UPX modified...

| Сообщение посчитали полезным: boned

Ранг: 0.9 (гость)
Статус: Участник

Создано: 6 сентября 2012 10:06 New!
Цитата · Личное сообщение · #5

Yes, I was unable to confirm it was ACprotect.

I suggest removing this entry from userdb: [ACProtect 1.3x - 1.4x DLL -> Risco Software Inc.]
signature = 80 7C 24 08 01 0F 85
ep_only = true

The signature is used for detecting if the DLL is being unloaded or not from what I can tell. This could be used in other DLL packers.

Ранг: 0.9 (гость)
Статус: Участник

Создано: 6 сентября 2012 11:28 New!
Цитата · Личное сообщение · #6

After doing imprec and then checking out the new 'fixed' binary, ollydbg tells me that the oep is outside of the code area. This is true and the oep opcodes don't look like a normal d3d9 wrapper (from experience). Any ideas or is this just basic PE header fixing that I am missing out on?

Ранг: 237.3 (наставник)
Статус: Участник

Создано: 6 сентября 2012 11:39 New!
Цитата · Личное сообщение · #7

try --> Unpacked <--

| Сообщение посчитали полезным: boned

Ранг: 0.9 (гость)
Статус: Участник

Создано: 6 сентября 2012 17:49 New!
Цитата · Личное сообщение · #8

DimitarSerg, this is good. I am curious how you rebuilt the code sections. I am a beginner at unpacking so I followed basic upx unpack tutorial where I dump from OEP in olly then use imprec to fix dump. I did have the same EP as your unpack but my sections were CODE, DATA, but not .text .rsrc etc. Did you manually set the sections when dumping from olly?

Thanks! Trying to learn to be better.

Ранг: 31.0 (посетитель)
Статус: Участник

Создано: 6 сентября 2012 21:02 New!
Цитата · Личное сообщение · #9

Here's another option --> unpack <--

Ранг: 1.5 (гость)
Статус: Участник

Создано: 6 января 2013 03:05 · Поправил: Jeta New!
Цитата · Личное сообщение · #10

hey i am newbie here. i found this thread and i need yours help. need remove protection from this dll files. can help me same body ?

--> Link <--

Ранг: 2011.1 (!!!!)
Статус: Модератор

Создано: 6 января 2013 09:52 New!
Цитата · Личное сообщение · #11

Use crack requests topic for requests like this.

| Сообщение посчитали полезным: Jeta

 eXeL@B —› WorldWide —› Unknown code protection
Эта тема закрыта. Ответы больше не принимаются.

Видеокурс ВЗЛОМ