揭穿MoleBox的谎言

揭穿MoleBox的谎言

 

作者lisunlin0     [email protected]       日期:6,Junuary    2008

 

摘要MoleBox号称可以将主程序所依赖的DLL等外部文件集成到一个EXE里面,在需要时直接从内存中释放出来而不使用临时磁盘文件,但事实上MoleBox并没有做到,欺骗了用户。

 

正文

       这一阵子在写直接从内存中加载Flash而不依赖客户端的flash控件,在搜集相关资料时发现MoleBox,看到它的说明时真叫人振奋,以下是主页上的广告:MoleBox is a runtime exe packer for Windows applications. It bundles the executable together with the DLL and data files into a single EXE file, without losing the ability to run the application.

MoleBox compresses and encrypts all the application files. With MoleBox you can protect your application's data and media files from viewing and modifications, and your DLLs and ActiveX components from usage by third party programs.

Moleboxing does not affect the original application's functionality in any way nor requires any additional coding. Unpacking and decryption (if required) are performed automatically and insensibly for application. Packed program runs without extracting files to the disk.

特别注意到其最后一句说不会释放到磁盘文件。然后到其下载页面上,看到如下介绍(节略):

 

Feature

MoleBox
Pro

MoleBox
Standard

Pack application and data files into a single exe file

Run packed application without external files

Embed DLLs into EXE files

 

Protect DLLs from unauthorized access and use

Create multiple data packages

Secure application integrity, add control sum check

 

于是下载了MoleBoxPro trial版,测试了它的“Run packed application without external files”和“Integrate ActiveX components into EXE files and use them without registration”功能,使用如下文件:

1:测试时的文件

 揭穿MoleBox的谎言_第1张图片

其中usedll.exe通过导入表(即隐式)调用counter.dllflashplayer.exe使用了flash.ocx控件。

现在用MoleBoxusedll.execounter.dll打包到一起,生成usedll.mbo.exe, peid的任务查看器看两个进程内部的模块信息,

2:运行usedll.exe时的模块信息

 揭穿MoleBox的谎言_第2张图片

3:运行usedll.mbo.exe时的模块信息

 揭穿MoleBox的谎言_第3张图片

对比可以看到由MoleBox打包后的程序确实没有调用counter.dll……但等等,在图3中用红框的c:/documents and settings…这个是什么文件?打开看看先,

 揭穿MoleBox的谎言_第4张图片

stud_pe查看了一下信息,居然是一个PE文件,而且与counter.dll有相同节信息。

4counter.dll的节表信息

 揭穿MoleBox的谎言_第5张图片

5:神秘文件的节表信息

 揭穿MoleBox的谎言_第6张图片

 

看到了吗?MoleBoxcounter.dll后面附加了一个_BOX_的节。

 

由上面可以得出结论MoleBox使用了磁盘文件。

 

下面再测试MoleBox能不能使用不注册的控件。

FlashPlayer.exeflash.ocx打包成FlashPlayer.mbo.exe(由于MoleBox没有相关的说明,暂且就这们打包吧),并将自己机器上的flash.ocx卸载并删除,然后运行FlashPlayer.mbo.exe, 发现不能正常运行…… 无语,看MoleBox还有何面目支收取用户的$

你可能感兴趣的:(揭穿MoleBox的谎言)