疑似金山沙箱的一个被穿透并且关闭金山毒霸的问题

大金鱼先生

RThttp://bbs.kafan.cn/thread-1339148-1-1.html
根据144L的提醒，按照这个程序的原理写了个小程序，发现成功的穿透金山沙箱报销金山防护······
其实把任务管理器扔到沙箱里也能直接穿透沙箱，但是有些人会说什么任务管理器默认会被信任之类的，我就自己写了个小程序。（那个帖子主楼的软件也能达到这个效果）

测试步骤：
1.将本程序在沙箱外直接运行，会提示尝试结束关键进程而失败.  2.将本程序在金山沙箱中运行，会穿透沙箱结束掉金山的带自保护进程，虽然核心防护进程kxescore.exe仍然存在，但本程序已经可以结束外界系统中的任务管理器。（首先在沙箱中是无法操作外面的任务管理器进程的，其次结束任务管理器是会被金山毒霸拦截的）

原理说明：其实就是调用TerminateProcess这个ap依次i结束进程kismain.exe、kxetray.exe、kxescore.exe（这个无法结束）、taskmgr.exe而已，但不知道为何穿透了金山沙箱

演示视频：http://pan.baidu.com/share/link?shareid=3134&uk=269003639

视频说明：1.第一次在沙箱外运行，可以发现K+拦截了结束任务管理器的动作
               2.第二次进入沙箱运行，云安全鉴定为未知，点击后成功结束了沙箱和任务管理器，右下角金山毒霸图标消失，主界面被关闭， 虽然kxescore.exe仍然存在，但已无法拦截操作
               3.第三次在沙箱外运行，虽然第二次之后kxescore.exe依旧存在，但是无法像第一次一样拦截结束任务管理器的操作

毒霸版本：最新5.7开发板（其他版本应该也可以）

系统环境：Windows XP SP3，其余环境未测

程序：

如果无法运行，请安装Microsoft .NET Framework 4运行库http://download.microsoft.com/download/9/5/A/95A9616B-7A37-4AF6-BC36-D6EA96C8DAAE/dotNetFx40_Full_x86_x64.exe

声明：本程序仅作测试之用，禁止用作其他非法用途，产生一切后果与本人无关·····另外，测试完双击金山毒霸的桌面图标即可复原，没有进一步破坏。

虽然金山沙箱就是个玩具，但也不能在沙箱外不能做的事情在沙箱内做完了·····（本帖不是追究金山沙箱的一堆问题，只是好奇为何这个操作在沙箱外无效进了沙箱就行了？难道金山沙箱是个有金山数字签名的提权工具？or金山沙箱的操作被金山直接信任了？）

julia跺跺

貌似很厉害的样子。

大金鱼先生

julia跺跺 发表于 2012-8-18 10:47
貌似很厉害的样子。

根据提醒偶尔发现的而已··不过很纳闷为何沙箱外不能的操作进了沙箱就行··

julia跺跺

大金鱼先生 发表于 2012-8-18 10:48
根据提醒偶尔发现的而已··不过很纳闷为何沙箱外不能的操作进了沙箱就行··

那沙箱。呃。好久木有更新了。
漏漏更健康。
等官人好了。

萧逆水

金山沙箱这货当时就不成熟再加上好久不更新，官方当时为了跟风推出来但是又没那个技术去维护……被穿很正常……

大金鱼先生

萧逆水 发表于 2012-8-18 10:49
金山沙箱这货当时就不成熟再加上好久不更新，官方当时为了跟风推出来但是又没那个技术去维护……被穿很正常 ...

关键是为啥沙箱外不能的在沙箱内做到了呢？

萧逆水

大金鱼先生 发表于 2012-8-18 10:51
关键是为啥沙箱外不能的在沙箱内做到了呢？

额……介个就比较有意思了……沙箱内无K+？但是按道理来说沙箱不是虚拟环境么……
坐等官人解答……

大金鱼先生

萧逆水 发表于 2012-8-18 10:53
额……介个就比较有意思了……沙箱内无K+？但是按道理来说沙箱不是虚拟环境么……
坐等官人解答… ...

不是无K+的问题，是在沙箱内结束了金山的进程使K+失效并且穿过沙箱结束了任务管理器

julia跺跺

萧逆水 发表于 2012-8-18 10:53
额……介个就比较有意思了……沙箱内无K+？但是按道理来说沙箱不是虚拟环境么……
坐等官人解答… ...

难不成提权了？

萧逆水

大金鱼先生 发表于 2012-8-18 10:54
不是无K+的问题，是在沙箱内结束了金山的进程使K+失效并且穿过沙箱结束了任务管理器

我的意思就是说沙箱内没有K+主防这类限制程序动作的东东~导致程序成功跑完动作并且漏沙……