揭穿MoleBox的谎言

揭穿MoleBox的谎言

 

作者lisunlin0     lisunlin0@yahoo.com.cn       日期:6,Junuary    2008

 

摘要MoleBox号称可以将主程序所依赖的DLL等外部文件集成到一个EXE里面,在需要时直接从内存中释放出来而不使用临时磁盘文件,但事实上MoleBox并没有做到,欺骗了用户。

 

正文

       这一阵子在写直接从内存中加载Flash而不依赖客户端的flash控件,在搜集相关资料时发现MoleBox,看到它的说明时真叫人振奋,以下是主页上的广告:MoleBox is a runtime exe packer for Windows applications. It bundles the executable together with the DLL and data files into a single EXE file, without losing the ability to run the application.

MoleBox compresses and encrypts all the application files. With MoleBox you can protect your application's data and media files from viewing and modifications, and your DLLs and ActiveX components from usage by third party programs.

Moleboxing does not affect the original application's functionality in any way nor requires any additional coding. Unpacking and decryption (if required) are performed automatically and insensibly for application. Packed program runs without extracting files to the disk.

特别注意到其最后一句说不会释放到磁盘文件。然后到其下载页面上,看到如下介绍(节略):

 

Feature

MoleBox
Pro

MoleBox
Standard

Pack application and data files into a single exe file

Run packed application without external files

Embed DLLs into EXE files

 

Protect DLLs from unauthorized access and use

Create multiple data packages

Secure application integrity, add control sum check

 

于是下载了MoleBoxPro trial版,测试了它的“Run packed application without external files”和“Integrate ActiveX components into EXE files and use them without registration”功能,使用如下文件:

1:测试时的文件

 

其中usedll.exe通过导入表(即隐式)调用counter.dllflashplayer.exe使用了flash.ocx控件。

现在用MoleBoxusedll.execounter.dll打包到一起,生成usedll.mbo.exe, peid的任务查看器看两个进程内部的模块信息,

2:运行usedll.exe时的模块信息

 

3:运行usedll.mbo.exe时的模块信息

 

对比可以看到由MoleBox打包后的程序确实没有调用counter.dll……但等等,在图3中用红框的c:/documents and settings…这个是什么文件?打开看看先,

 

stud_pe查看了一下信息,居然是一个PE文件,而且与counter.dll有相同节信息。

4counter.dll的节表信息

 

5:神秘文件的节表信息

 

 

看到了吗?MoleBoxcounter.dll后面附加了一个_BOX_的节。

 

由上面可以得出结论MoleBox使用了磁盘文件。

 

下面再测试MoleBox能不能使用不注册的控件。

FlashPlayer.exeflash.ocx打包成FlashPlayer.mbo.exe(由于MoleBox没有相关的说明,暂且就这们打包吧),并将自己机器上的flash.ocx卸载并删除,然后运行FlashPlayer.mbo.exe, 发现不能正常运行…… 无语,看MoleBox还有何面目支收取用户的$

评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值