娱乐贴:api穿360沙箱

kfsb250000

大概N个月前花了两个晚上加起来总共半小时左右用瞎点鼠标的方法点出了两个看起来能够穿360沙箱的东西。
于是就qq跟360的工程师说了下，请他去验证。他当时说确实是有点问题的。

现在貌似能自动化完成的那一个已经不行，另一个不能自动的貌似还是可以。后面那一个，在360漏洞平台上也说了，不过人家没鸟我。。360应该是觉得不是啥bug了，所以我也就发一下，看看大家怎么看。。反正我就是个小白了，不会编程，更不会用驱动漏洞，就是玩玩cmd命令了。说错了请大牛捂着嘴偷偷的笑，别出来挖苦就是。

以前在kafan就说过，cmd命令
mountvol c: /d
在360沙箱里面可以把C盘卸下。
mountvol用的具体是哪个API我不知道，但是肯定有这个API的。
于是我猜可以通过这个api在360沙箱里面卸下C盘的。
同理subst命令也有类似的一个API，在360沙箱里也是可以用。

所以穿沙步骤如下（经过粗略测试了，不过我不会编程所以不保证测试正确绝对能穿）：

第一步是准备工作。测试目录选在桌面，因为很多人的下载目录就是桌面目录。在桌面目录下（一般是在C盘，这个是关键）准备一个隐藏的文件夹和一个极具诱惑力的“美女聊天软件.lnk”，就和现在流行的白加黑差不多。隐藏的文件夹就叫test，里面再套一个文件夹叫windows,再套一个文件夹叫system32，system32下面放一个木马叫taskmgr.exe，
再放一些居家必备的dll如user32.dll，kernel32.dll什么的，和windows\WinSxS文件夹下面的那些，保证taskmgr.exe能运行。再把“美女聊天软件.lnk”指向taskmgr.exe。

第二步，想象一下，类似白加黑的途径，把这个.lnk和文件夹一起传给某人，某人用360沙箱运行那个“美女聊天软件.lnk”也就是taskmgr.exe，taskmgr.exe就会做一系列动作：卸下C盘，再把原来的C盘装载成X盘，这样原来的桌面目录就由C:\Documents and Settings\administrator\desktop变成了X:\Documents and Settings\administrator\desktop，然后再用subst命令对应的那个API把X:\Documents and Settings\administrator\desktop\test映射到C盘。
这样C盘下就有了一个冒牌的c:\windows\system32\taskmgr.exe。

第三步，沙箱里的"美女聊天软件.lnk"再弄一张巨大的凤姐照片锁住屏幕，再锁住鼠标，再放点恶心的音乐，总之让你不得不打开任务管理器，这时候一般人会去ctrl+alt+del，于是冒牌的taskmgr.exe就又跑到360沙箱外运行了.此时360界面调不出来，所以用户也不可能去360沙箱界面或者360任务管理器结束进程。

第四步，等外面的taskmgr.exe把事情办完了，再恢复原来的C盘。

这个方法不好的地方在于不能自动化实现，估计这也是360不修补的原因，但是我觉得成功率还是可以的，毕竟一般人都知道死机的时候去ctrl+alt+del。成功的关键就在于想办法让机主去打开任务管理器，而这个不难办到。

kmelon

一般人都知道死机的时候去重启，而不知道ctrl+A+D

kmelon

一般人都知道死机的时候去重启，而不知道ctrl+A+D

kfsb250000

kmelon 发表于 2014-7-21 01:18
一般人都知道死机的时候去重启，而不知道ctrl+A+D

不要抠字眼。死机就是屏幕鼠标被锁等的意思。”成功的关键就在于想办法让机主去打开任务管理器，而这个不难办到。“这句话同意不。

兜里揣着メ壹块

win8 64位下的沙箱内的程序能打开沙箱外ie  1    2个月了也没见修复

22667999

顶上去 @vdmcontrol @360主动防御

ForeverX

办法不错

hx1997

http://msdn.microsoft.com/zh-cn/ ... 63904(v=vs.85).aspx

而且这个重启之后会恢复的，所以应该没什么大问题。

没仔细看帖呢，挺有意思的，只是不知道是否可行。

kmelon

kfsb250000 发表于 2014-7-21 02:41
不要抠字眼。死机就是屏幕鼠标被锁等的意思。”成功的关键就在于想办法让机主去打开任务管理器，而这个不 ...

99%的人都没见过任务管理器。

jefffire

思路有点意思 看看