揭穿MoleBox的谎言 - Dustfly的专栏 - CSDN博客

来源：百度文库编辑：神马文学网时间：2024/05/23 21:17:35

揭穿MoleBox的谎言作者：lisunlin0 lisunlin0@yahoo.com.cn 日期：6,Junuary 2008 摘要：MoleBox号称可以将主程序所依赖的DLL等外部文件集成到一个EXE里面，在需要时直接从内存中释放出来而不使用临时磁盘文件，但事实上MoleBox并没有做到，欺骗了用户。正文：这一阵子在写直接从内存中加载Flash而不依赖客户端的flash控件，在搜集相关资料时发现MoleBox，看到它的说明时真叫人振奋，以下是主页上的广告：MoleBox is a runtime exe packer for Windows applications. It bundles the executable together with the DLL and data files into a single EXE file, without losing the ability to run the application.MoleBox compresses and encrypts all the application files. With MoleBox you can protect your application's data and media files from viewing and modifications, and your DLLs and ActiveX components from usage by third party programs.Moleboxing does not affect the original application's functionality in any way nor requires any additional coding. Unpacking and decryption (if required) are performed automatically and insensibly for application. Packed program runs without extracting files to the disk.特别注意到其最后一句说不会释放到磁盘文件。然后到其下载页面上，看到如下介绍（节略）： Feature
MoleBox
Pro
MoleBox
Standard

Pack application and data files into a single exe file

Run packed application without external files

Embed DLLs into EXE files

Protect DLLs from unauthorized access and use

Create multiple data packages

Secure application integrity, add control sum check

于是下载了MoleBoxPro trial版，测试了它的“Run packed application without external files”和“Integrate ActiveX components into EXE files and use them without registration”功能，使用如下文件：图1：测试时的文件
其中usedll.exe通过导入表（即隐式）调用counter.dll，flashplayer.exe使用了flash.ocx控件。现在用MoleBox将usedll.exe和counter.dll打包到一起，生成usedll.mbo.exe, 用peid的任务查看器看两个进程内部的模块信息，图2：运行usedll.exe时的模块信息
图3：运行usedll.mbo.exe时的模块信息
对比可以看到由MoleBox打包后的程序确实没有调用counter.dll……但等等，在图3中用红框的c:\documents and settings…这个是什么文件？打开看看先，
用stud_pe查看了一下信息，居然是一个PE文件，而且与counter.dll有相同节信息。图4：counter.dll的节表信息
图5：神秘文件的节表信息
看到了吗？MoleBox在counter.dll后面附加了一个_BOX_的节。由上面可以得出结论MoleBox使用了磁盘文件。下面再测试MoleBox能不能使用不注册的控件。将FlashPlayer.exe和flash.ocx打包成FlashPlayer.mbo.exe（由于MoleBox没有相关的说明，暂且就这们打包吧），并将自己机器上的flash.ocx卸载并删除，然后运行FlashPlayer.mbo.exe, 发现不能正常运行……　无语，看MoleBox还有何面目支收取用户的$。
本文来自CSDN博客，转载请标明出处：http://blog.csdn.net/lisunlin0/archive/2008/01/06/2027789.aspx

揭穿MoleBox的谎言 - Dustfly的专栏 - CSDN博客 baozhengw的专栏 - CSDN博客 AGPS简介 - kv110的专栏 - CSDN博客 OpenMAX简介 - shenbin1430的专栏 - CSDN博客 Android flinger - simmer_ken的专栏 - CSDN博客 windows 命令 - orangeman1982112的专栏 - CSDN博客 JNDI概述 - tanghongru1983的专栏 - CSDN博客指针 - syhhl007的专栏 - CSDN博客变量命名 - yszwn的专栏 - CSDN博客什么是PLL - JasonCao的专栏 - CSDN博客 VC积累 - cherryt的专栏 - CSDN博客 fms技术 - wanglilin2000的专栏 - CSDN博客关于numeric_limits - qianlong88的专栏 - CSDN博客 gcc - sportmanmanman44的专栏 - CSDN博客痛批《揭穿“贞观之治”的谎言》揭穿已婚女人的美丽谎言揭穿水果减肥的谎言 STL之vector的使用 - wxdvc的专栏 - CSDN博客一些实用的TAB效果 - colourbear的专栏 - CSDN博客气质的养成 - Adi_liu的专栏 - CSDN博客 Android的源代码结构 - 常青的专栏 - CSDN博客使用自己的make menuconfig - Hermit的专栏 - CSDN博客系统架构师的修炼 - welcomejzh的专栏 - CSDN博客 ffmpeg与ffdshow的关系 - zysee的专栏 - CSDN博客