[心得] Sandboxie和防勒索

楼主: mayuyu ((・ω・)ノ)   2017-02-05 12:18:47
Sandboxie可以防止勒索病毒破坏真实系统。
免费试用版比正式版少二个功能
1. 同时只能运行一个沙盘
例如 建立 Line_ID1/Line_ID2 二个沙盘,
同时只能运行其中一个Line,不能多开。
替代方法
只是要多开的话,改建立多个Windows使用者帐户,
以"Run As..."工具,用不同使用者身份开启运行。
2. 不能指定“程式/资料夹”强制从沙盘中开启
例如:手动从沙盘中启动Chrome浏览器,
而Line则放在沙盘外运行,
此时点击Line里面朋友传送的连结,
会在沙盘外重新启动一个独立的chrome.exe视窗开启连结,
而不会自动进入沙盘,在沙盘里的Chrome开新分页。
正式版可以指定chrome.exe强制从沙盘中开启,
所以即使在沙盘外点击连结,只要chrome.exe启动,
就会自动进入指定的沙盘。
替代方法
修改Chrome快捷,将路径改为
"C:\Program Files\Sandboxie\Start.exe"
/box:指定开启的沙盘例如Default /nosbiectrl /hide_window
"chrome.exe的路径"
这样点击这个捷径就会自动从Default沙盘中开启Chrome。
把Line也放入同样的Default沙盘中运行,
这样点击Line的连结就会在沙盘里的Chrome开启。
不过我们不可能将系统上所有会用到Chrome的程式都放入沙盘里执行,
所以正式版的自动强制入沙的功能还是比较方便。
和防毒软件的相容性
BitDefender 2017 & WIN10
看起来一切正常
Kaspersky 2017 & WIN10
官方宣称2017有相容SBIE,
实测Firefox和Chrome可以入沙,其他看起来也都正常,
但是从沙盘中开启IE和Edge会无法关机,必须reset重启系统,
所以不要用沙盘开IE和Edge,改用其他浏览器。
强化沙盘的限制和一些相容性设定
1. 限制程式启动
http://i.imgur.com/dt6THiI.png
例如Chrome沙盘中只允许chrome.exe可以启动运行。
只允许chrome.exe启动的话,有时候需要运行其他程式时,
SBIE就会弹出应用程式被限制无法启动的讯息。
例如在Chrome浏览器中开启资料夹浏览要上传的档案,
显示缩图预览时会弹出无法启动dllhost.exe的讯息。
此时在弹出的讯息上按隐藏,
以后就不会再弹出这个应用程式被限制启动的讯息,
或者在讯息上双击,以后就会自动放行dllhost.exe。
2. 限制程式连网
http://i.imgur.com/XQCOMaV.png
例如Chrome沙盘中只允许chrome.exe可以连网
3. 降低更多权限
http://i.imgur.com/9cRIUup.png
取消更多Chrome的权限的话有些服务就无法执行。
例如Chrome会使用在背景上传资料的BITS服务,
勾取这个选项的话SBIE会弹出BITS服务无法启动的错误讯息。
同样如果不想看到这个错误讯息,在讯息上按隐藏就好,
或者双击放行这个权限。
4. 强制chrome.exe从这个沙盘中开启
http://i.imgur.com/FhISFBF.png
则沙盘外无论谁启动chrome.exe,都会自动强制在这个沙盘中开启。
这个功能是最重要的功能,只有正式版能用。
5. 指定资料夹下的程式或档案一律强制在沙盘中开启
http://i.imgur.com/tUeGHs3.png
例如可以设定“光驱/USB随身碟”所在的磁盘机为强制资料夹,
这样当光盘片或USB插入时,autorun执行的程式会自动进入沙盘运行。
这个功能只有正式版能用。
6. 应用程式停止
http://i.imgur.com/iplCsff.png
http://i.imgur.com/bLlF9Sg.png
见图里面的说明。
例如Chrome沙盘里,chrome.exe结束运行后,
自动结束沙盘里其他开启的程式。
7. 直接存取档案或资料夹
http://i.imgur.com/481ZdA6.png
为了方便,
让沙盘内的chrome.exe可以直接存取Chrome使用者设定档,
和下载资料夹,将资料直接写进真实系统。
8. 应用程式相容性
有些程式如果在沙盘中启动使用起来不太方便,
所以开放让沙盘内的程式可以直接和沙盘外的这些程式沟通,
而不用在沙盘中重复启动这些软件。
例子一:Chrome沙盘和Firefox沙盘都会用到下载管理员,
例如 Internet Download Manager (IDM) 来帮助档案下载。
在这二个沙盘中重复创建IDM下载器不太有意义又浪费系统资源,
不如让沙盘内的程式可以直接存取系统上、沙盘外的IDM下载器,
让IDM在沙盘外运行,下载的东西也直接放在沙盘外。
相容的方法:SBIE有内建IDM的相容性范本,
在应用程式相容性设定中直接启用IDM的范本即可。
http://i.imgur.com/i0Vje5V.png
http://i.imgur.com/MKzDMFX.png
例子二:Chrome沙盘和Firefox沙盘都会用到输入法,
有些输入法必须在在沙盘中重复创建程序才能使用,
或者是能使用但功能不正常。
例如新自然输入法,当在沙盘中使用自然输入法的时候,
Chrome沙盘和Firefox沙盘都会创建一个新的GoImeServer10.exe,
而不会使用系统上沙盘外已经启动的GoImeServer10.exe,
变成系统上会有三个重复的GoImeServer10.exe,
而且使用者输入的惯用辞典也会保存在三个不同的位置。
http://i.imgur.com/KfxAdxp.png
图中是Firefox沙盘的情况,
背景色橄榄色的程序是Firefox沙盘中的程序,
firefox.exe所创建的子程序都会在这个沙盘里,
可以看到沙盘中的程序完整性级别都是Untrusted,
当firefox.exe要使用自然输入法的时候,
因为不能和沙盘外的GoImeServer10.exe通讯,
所以会在沙盘中重新创建一个GoImeServer10.exe程序来使用。
相容的方法:开启 沙盒主控台->资源存取监视器,
http://i.imgur.com/aKSANSq.png
在沙盘中启动浏览器,切换到自然输入法,
观察资源存取监视器中,显示被阻挡不能直接访问的资源,
在 沙盘设定->资源存取 设定中,
让沙盘直接存取这些被阻挡的资源。
例如要直接存取自然输入法
在 资源存取->IPC存取->直接存取 中新增
\RPC Control\[email protected]/*
作者: liumang (Liumang)   2017-02-05 14:55:00
赞赞!! 感谢大大提供的教学 我卡在输入法那边超久了
作者: Chiardy (精实‧强悍‧七三八)   2017-02-07 19:49:00
谢谢您的专业资讯!
作者: canandmap (地图上的流浪者)   2017-02-08 22:18:00
请教原po,如果是用呒虾米输入法要如何设定相容性?
作者: kaoru7568 (镜音俺嫁)   2017-02-08 23:02:00
感谢原PO,解决我很多观念上的问题,自己硬吃官方文件还是有极限...
楼主: mayuyu ((・ω・)ノ)   2017-02-11 17:38:00
我没有用过呒虾米 您可能要自己测试看看
作者: DINJIAPC (鼎家)   2017-02-13 04:07:00
你要不要先研究一下为何卡巴放弃开发沙盘2012年有内建的呢
作者: canandmap (地图上的流浪者)   2017-02-13 16:46:00
感谢原po~有空再试试
作者: F16V (Manners maketh man.)   2017-02-17 10:09:00
我也想知道无虾怎么设定+1
继续阅读

Links booklink

Contact Us: admin [ a t ] ucptt.com