knowladge_网站开发_Sandboxie沙盒

前两天在做Sandboxie, 查到了两个不错的教程,在这里转发一下 

 

 

* 第一个是善用佳软翻译的sandboxie的官方说明 

链接地址:http://xbeta.info/sandboxie-2.htm

 

* 第二篇操作比较详细

原文地址:http://bbs.kafan.cn/thread-410166-1-1.html

* 还有一些相关的比较有用的评论, 我也加到了文章的最后,可以参考

 

 

Sandboxie:最经典的免费沙盒安全软件(团购中)

作者: textpattern  日期: 2012-09-20  分类: windows   标签:

【xbeta注】Sandboxie是我首选的沙盒类软件:历史长、开发活跃、稳定、小巧、占资源少、免费版限制少、使用方便。无论对隐私访问网络、防止恶意网站与软件、疯狂测试新软而无须担心系统性能……都极为实用。用一句形象的话来概括,就是“爱折腾,必备Sandboxie”。目前PlaySoft正在组织团购中(125元,终生授权)
Sandboxie截屏
图:xbeta利用Sandboxie测试安装新出的ACDSee Free, 2012-08-11

1. Sandboxie介绍

Sandboxie(官网中译|文章1|文章2)是一款安全软件,名字中的Sandbox指沙盒。

Sandboxie 在计算机上建立隔离空间(沙盒),来运行程序,以免该程序对计算机上的其他程序、数据造成永久损害。其原理如下图所示:


红色箭头表示,运行中的程序对计算机所做的改变。右上框表示,常规情况下,运行中的程序改变了未使用沙盒的硬盘 (Hard disk (no sandbox)) 。右下框表示,在 Sandboxie 中运行的程序,对建立了沙盒的硬盘(Hard disk (with sandbox))所做的改变。动画显示,Sandboxie 能介入这些变化,并将它们限定在 沙盒中,如图中黄色矩形所示。图中也表明,将所有变化集中在一起,更容易彻底清理。

以上介绍出自官方网页,Sandboxie是目前开发最为活跃的沙盒类软件,爱好者众多。官方正式版本为3.72。该软件有收费版本和免费版本,收费版本价格平易近人;免费版本足够厚道,功能限制较少。

很多博客都介绍过Sandboxie。比如善用佳软在2006年就写过介绍文章,并翻译官网首页。因此,本文不再述,主要对Sandboxie的独特之处进行说明。

2. Sandboxie能做什么

Sandboxie的原理很简单,默认配置下可以理解为:沙盒里运行的程序可读不可写。“可读”指的是沙盒程序默认能访问本系统里的资源,“不可写”指的是沙盒里程序的所有写入操作(比如新建文件,目录等),都只能在局限在沙盒内部,不影响真正系统。

Sandboxie本意是考虑系统安全,为系统增加沙盒功能,隔离恶意软件的侵害。Sandboxie的写保护特性,也能帮助我们创建虚拟软件环境,开创另一种用法。

我认为Sandboxie的应用方向,分为安全应用和虚拟环境两方面。利用Sandboxie创建虚拟软件环境,可以有效提高软件使用效率,是相对高端的话题。

2.1 Sandboxie与网络安全

浏览器最容易受到网络恶意软件的侵扰,Sandboxie的沙盒特性,可以保护浏览器安全。有效控制木马,恶意插件的蔓延。

有些木马和插件一但安装在真实系统,很难彻底杀绝。将浏览器部署在沙盒中,浏览器下载的程序,插件,都会局限在沙盒中。一但察觉安全隐患,直接删除沙盒即可,省时省力。

值得注意的是,Sandboxie中的软件能上传资料到网络,理论上需要配合其他安全软件才能更有效防范网络攻击。沙盒只是网络安全的一个环节,使用Sandboxie这种功能多的沙盒软件,能更方便的设计安全方案而已。不要迷信沙盒的安全能力。

用法

1. 在沙盒中运行浏览器,本次会话的所有操作都保存在沙盒中。

2. 直接将浏览器安装在沙盒中。更省事的方案是使用便携浏览器,比如portable firefox,将portable firefox目录直接复制到沙盒目录就能实现安全浏览。

用法1相对灵活一些,适合临时需要安全浏览的场合。用法2是通行用法,也可将邮件程序,下载工具等易受攻击的网络软件安装至沙盒。

2.2 Sandboxie与虚拟软件环境

Sandboxie运行时会创建一个默认沙盒,名为DefaultBox,该沙盒是操作系统中的一个目录,前面提过,沙盒软件运行时的写入操作都局限在此目录里。

在沙盒中运行程序,相当于在一个全新的操作系统下运行软件。沙盒中的注册表和文件是虚拟构建的,可与原系统同步运行。

该特性最大的好处就是创建虚拟软件环境,利用Sandboxie开启不同版本程序,或者实现多账号登录。

例1: Firefox和Palemoon共存,Palemoon是Firefox的一个优化版本,使用Firefox内核。正常情况只能开启Firefox或者Palemoon,两者不能共存。使用Sandboxie开启Palemoon,因Palemoon是运行在沙盒虚拟环境,和原有系统不冲突,这样就可以同时启动Firefox和Palemoon了。

例2: 不同版本软件共存,每个沙盒都是独立的软件环境,不同版本的软件安装在不同沙盒中,可以实现多版本软件共存,软件测试人员不用开虚拟机就能方便测试软件了。这种情况Sandboxie的用法和python的virtualenv类似。

例3: Steam多账号同时登录,一些软件限制只能同一时间登录一个账号,比如游戏软件steam。有多个steam账号的用户,只能切换账号使用,不能同时登录。使用Sandboxie能同时开启多个steam账号(不违反用户协议),可以节省用户切换账号的宝贵时间。用法很简单,多开的steam程序在沙盒中运行即可。

例4: 利用Sandboxie创建绿色软件,沙盒只记录软件的写入操作,安装软件时利用快照工具创建沙盒快照,对比程序安装前后的文件变化,就可以获取软件的安装文件,注册表变化等信息,方便打包制作绿色软件。在真正系统下创建快照,容易受干扰,而且文件对比数量过多。使用Sandboxie能降低制作绿色软件难度。

2.3. Sandboxie与虚拟机软件比较

有人会问,Sandboxie和虚拟机软件相似,两者有何异同?其实Sandboxie可以当轻量级的虚拟机使用,上面我提到的例子用虚拟机软件也可以,但代价较高。下面我把Sandboxie和虚拟机软件的优劣势简要对比。

Sandboxie的优势:沙盒中运行的软件,性能无损失,默认允许访问原系统资源。Sandboxie文件访问权限功能灵活。而虚拟机运行则需要耗费一定的系统资源,,虚拟机设定网络共享目录能读写原系统资源,但操作较繁琐。

Sandboxie的劣势:无法解决软件兼容问题。Sandboxie只是隔离软件运行环境,并没有创建虚拟操作系统的能力,一些在xp等特定操作系统才能运行的程序,只能通过虚拟机程序处理。

3. Sandboxie使用技巧

3.1 Sandboxie启动文件方式

1. 菜单方式启动

如下图所示,利用Sandboxie的菜单,可以在沙盒中运行程序

2. 命令行启动

Sandboxie安装目录有一个命令行工具start.exe,可以接受命令行参数。在total commander或其他文件管理器,可使用该命令行功能,简化操作。比如TC可以创建一个按钮来使用该命令行程序,一键点击就能在沙盒中启动程序。或者创建一个快捷键,利用快捷键简化Sandboxie的使用。

沙盘中运行程序:start.exe /box:沙盘名 程序名

沙盘中终止程序命令:start.exe /box:沙盘名 /terminate

(start.exe的路径要求在path环境变量中)

3.2 Sandboxie的兼容问题

Sandboxie兼容性非常好,但对一些特定软件也存在兼容问题。当安装这些软件时,Sandboxie会弹出提示窗口,按官方步骤操作或者升级这些软件至最新版本可改善兼容问题。

其中,与Sandboxie冲突的知名软件有StrokeIT,SnagIT等。冲突软件详单参见:http://www.sandboxie.com/index.php?KnownConflicts

4. Sandboxie免费版本与收费版本比较

具体介绍见http://www.sandboxie.com/index.php?RegisterSandboxie,我简单总结几点。

Sandboxie免费版本,正常使用沙盒大部分功能,但只能创建一个沙盒,30天试用期过后弹出nag窗口提示注册。免费版本除了弹窗相对烦人,功能可以满足一般用户的需求。很多人用一个沙盒就足够了。

Sandboxie的收费版本,可创建多个沙盒,增加程序自动进入沙盒功能,适合高级功能。

Sandboxie收费许可有两类,家用许可和商用许可。商用许可较贵,可不考虑。家用许可有终生升级(LIFETIME LICENSE)和一年升级(ONE YEAR LICENSE)两种。价格分别为29欧元和13欧元。

Sandboxie目前的版本是3.72, 该软件更新升级很快,目前更新主要是消除Bug,进一步提升软件兼容性。未来win 8系统下该软件更新会更频繁,买终生升级的家用许可是经济实惠的方案。

Sandboxie社区异常活跃,社区地址为http://www.sandboxie.com/phpbb/。主力讨论区的贴子数量超过3万,这在共享软件社区中很难得。

5. Sandboxie 国内推广情况

1、Sandboxie 在国内的安全社区、软件博客上很早就开始介绍传播,比如善用佳软于06年8月开始介绍此款软件。
2、很早就有了官方认可的官网中文翻译版本
3、Playsoft已代理Sandboxie终生升级版本,价格169元人民币,相比29欧元的官方价格要低不少。
4、官方与PlaySoft联合,于2012年8月在善用佳软举行了一个“发评论、赠许可”的活动,赠出了5份Sandboxie许可(一年升级):浮华诉离殇、SBUser、virus_test、果果、偷偷告诉大家一个秘密。(加QQ群:145777712,联系群主获取许可)
5、PlaySoft于2012年9月举行团购,Sandboxie 沙盘个人终身更新版 – 官方团购,125元。 PlaySoft很厚道地主动表示,要为此前按 169元 购买的用户,做些补偿。相关网友见文请联系PlaySoft。

Sandboxie功能强大,本文抛砖引玉,仅介绍Sandboxie的部分有趣功能,希望大家在评论中能补充更多内容,分享更加实用的Sandboxie使用技巧,让更多人体会到该软件的强大。

 

第二篇:

OpenSandboxiePath——沙盘之路


声明:本文属ubuntu原创,首发于卡饭HIPS版,转贴请保留作者和出处,严禁用于商业用途。



前言

红豆的沙
我用沙盘主要是防入口,防泄露
偶尔测试一下新软件,或者偶偶尔欺负一下病毒 :)
前面主要讲安全浏览+U盘,不是做绿色或者沙盘化软件
如果,你不感兴趣,最好略过不看,不想浪费你的时间
后面讲配置文件,还是最好看看,应该有点帮助。
如果,你连看都不想看,还想用沙盘
那好,我把配置文件给你拷贝一下
很简单,什么也不用管,直接用



完整的菜单、操作,已经有教程,我不会再讲一遍。
我是从实战出发,用实例来讲述对沙盘的控制,
主要是一个特定沙盘思路和想法是如何实现的,
顺带讲一下具体操作和菜单。

尽量让所有人(包括没有用过沙盘的)都有所收获,

希望看过以后,每个人都能找到适合自己的沙盘之路。




初遇

有没有缘分,第一眼很重要
关于Sandboxie,我能给你的第一印象就是下面两张图。
如果,你有一见钟情、相见恨晚的感觉,那么继续往下看。



Sandboxie 在一个被成为沙盘的隔离保护区运行您的程序(黄色方块)
沙盘中的程序不允许更改或危害您的计算机(倒沙,红色被清除)


一切都有个开始
沙盘也不例外


下载:http://www.sandboxie.com/SandboxieInstall.exe
注册:自己动手搜索
安装的版本目前是 3.34

中文化:
安装时选择中文
安装完成以后,托盘右键退出Sandboxie 控制
用下面文件替换安装目录里的文件
bbs.kafan.cn/thread-401800-1-3.html
重新启动Sandboxie 控制

备份配置文件:
C:\Windows\Sandboxie.ini 保存到一个安全的地方

安装完成会生成一个托盘图标和一个快捷方式"在沙盘中运行网页浏览器"
我们用这个快捷方式在沙盘中运行浏览器,假设系统默认浏览器是IE




邂逅

现在用这个快捷方式启动浏览器,如图:



因为iexplore.exe 在沙盘里运行,沙盘 DefaultBox 处于激活状态
[#]标志 表示程序处于沙盘的监控下

现在,按照平时的使用习惯,浏览常用网站,登陆论坛、填写表单。。。
一段时间以后,退出沙盘,用Sandboxie 控制 DefaultBox 删除保存内容(倒沙)

再次打开IE,发现输入过的网址、Cookies、历史、表单、密码,Internet临时文件,都没有被保存

这是Sandboxie一个实战运用的例子:隐私浏览
一旦退出浏览器,Sandboxie会清除所有上网痕迹,保护用户的隐私

每次,都手动倒沙是不是很累?

Sandboxie 提供了人性化的设置,自动倒沙,如图设置
沙盘设置 --> 删除调用 --> 勾选自动删除沙盘中保存的内容




=============================================================================================


在进行下一个实例前,先熟悉一下常用菜单

托盘右键菜单

最重要的是 终止所有程序和禁用强制运行程序,因为作用于所有沙盘
Sandboxie的注册版是可以建立多个沙盘
沙盘与真实系统隔离,各个沙盘之间也相互隔离




=============================================================================================


DefaultBox子菜单
具体到特定的沙盘,上半部分是运行相关,下半部分是沙盘内程序和内容相关




=============================================================================================


沙盘右键菜单

和上面类似,多出了沙盘设置、重命名沙盘、移除沙盘
最重要的是沙盘设置,几乎所有和沙盘相关的设置都在这里



另外,在初次使用沙盘以后,会看到很多提示消息
如果,看明白了,以后,不想再看到这个提示
勾选,以后不显示此消息
注:没有特别说明的话,所有程序都是在沙盘中运行。




重逢

上网下载文件,是很常见的。
假设下载目录,放在非系统盘,比如:F:\Downloads\ 或者 F:\下载\
这样以后重装、恢复系统,下载文件不会受到影响。
再次在沙盘里打开IE,输入:www.sandboxie.com
转到Download页面,下载Sandboxie 至 F:\Downloads\
http://www.sandboxie.com/SandboxieInstall.exe
下载完成,退出IE

现在打开F:\Downloads\,没有SandboxieInstall.exe这个文件,这就有麻烦了
自动倒沙将泥沙、珠玉统统倒掉

珠玉还是要的,再次用IE下载文件SandboxieInstall.exe
沙盘 DefaultBox,右键 浏览保存内容
在这个目录:C:\Sandbox\用户名\DefaultBox\drive\F\Downloads\
将SandboxieInstall.exe 复制到真实的系统 F:\Downloads\ 

可以看到,沙盘对文件创建进行重定向,沙盘里的文件操作不会影响真实系统
F:\Downloads\ --> C:\Sandbox\用户名\DefaultBox\drive\F\Downloads\
这样保护了系统安全,但是给下载带来了不便
中间,加入了一个恢复文件的步骤


为了方便用户,沙盘加入了一个精巧设计,快速恢复、立即恢复

在沙盘中运行IE,这次将下载文件保存到桌面上
Sandboxie在下载完成以后,会提示,只要选择恢复到相同文件夹
下载文件被恢复到真实系统,同时可以使用自动倒沙功能



如果,不想看到立即恢复的提示
勾选 在所有沙盘程序停止前不再显示此提示
这样,沙盘只会在结束所有沙盘程序以后,提示恢复文件,不会那么吵

使用或不使用立即恢复,在于自己的选择。


=============================================================================================


沙盘设置 --> 恢复 --> 快速恢复
快速恢复,将沙盘内的文件恢复到真实系统:
删除沙盘之前,或当您手动调用快速恢复功能时,将检查以下文件夹中保存的沙盘中的内容。

如果找到可恢复文件,您可以轻松地将它们恢复到沙盘环境以外。

默认的快速恢复目录:
我的文档
收藏夹
桌面
添加文件夹 加入下载目录:F:\Downloads
 

 




=============================================================================================


沙盘设置 --> 恢复 --> 立即恢复
立即恢复,是对快速恢复的增强,可以在文件创建后自动调用恢复功能

 




快速恢复可以通过托盘菜单和Sandboxie 控制里右键菜单,恢复文件和添加文件夹


=============================================================================================


还有一种方法恢复文件和添加快速恢复目录
Sandboxie 控制 --> 查看 --> 文件和文件夹 --> 快速恢复文件夹
右键选择文件,恢复到相同文件夹

Sandboxie 控制 --> 查看 --> 文件和文件夹 --> 所有分区和文件夹
分区 F Downloads,右键 将文件夹加入快速恢复
SandboxieInstall.exe,右键,恢复到相同文件夹







以上,通过快速恢复,解决了隐私浏览保护下的,文件下载问题。
用沙盘术语说:快速恢复和自动倒沙





Sandboxie COM 服务程序

沙盘中的程序正常运行需要访问一些重要的系统服务
不过,如果直接允许访问系统服务的话,程序会漏出沙盘,不能起到隔离的作用
所以,沙盘为了程序安全的访问系统服务,提供了沙盘化的系统服务实例
简单说,就是在沙盘里模拟系统服务
沙盘中的程序重定向访问沙盘化的服务程序,使程序正常运行,而不影响安全性

以下是沙盘化服务程序:

RpcSs - Remote Procedure Call (RPC) - SandboxieRpcSs.exe

DcomLaunch - DCOM Server Process Launcher - SandboxieDcomLaunch.exe

CryptSvc - Cryptographic Service - SandboxieCrypto.exe

BITS - Background Intelligent Transfer Service - SandboxieBITS.exe

Wuauserv - Automatic Updates - SandboxieWUAU.exe

EventSystem - COM+ Event System - SandboxieEventSys.exe

MSIServer - Windows Installer - msiexec.exe




安全浏览
Sandboxie 可以将浏览器(包括浏览器启动的子程序,下载的文件)限制在沙盘里,
从而保护真实系统的安全。
如果,有虚拟机的话,可以在沙盘里运行IE,再上一些有毒网站
或者,在沙盘里直接运行病毒程序
自动倒沙以后,系统不会受到影响




沙盘化绿色程序、测试新软件
沙盘还有一方面用处,测试新软件或不熟悉的程序;
将某些程序安装在一个特定设置的沙盘里,形成一个绿色程序
在隔离的环境下运行的程序。




插曲
在进行下面的内容前,休息一下!

英雄要问出处

在用之前,总要介绍一下来历

名称:Sandboxie (沙盘、沙箱、沙盒、Sbie、SB这个缩写囧...)

作者:Ronen Tzur (Tzuk) 非常勤奋、值得尊敬

国家:以色列 最近在打仗,祈祷和平

类别:Sandbox、沙盘、HIPS

特点:很黄不暴力,提示很少

革命履历:2004年参加革命工作,加入伟大的XXX
沙盘名动江湖的绝技是双开游戏
沙盘露脸的方式是和某浏览器捆绑
少数人将沙盘当作安全软件


开着沙盘去各类网站,尤其是毒网、马网、X网

只要倒沙,这个世界清静了,一丝不染

U盘病毒免疫,再牛的U盘病毒,也无法运行

稍微设置一下,上网收敛一些,保证不会被盗号

不想让人看的东东,保证不会被偷偷传到网上
硬盘拿去修理,那是另外一回事

沙盘化软件,保证系统干净
我将沙盘作为红豆沙的一部分
沙盘作先锋,防御国门
毛豆据中央,掌控全局
红伞为利剑,斩妖伏魔

只要简单设置,对一般人足够安全
基本上,入口防御都交给沙盘了
其它,两个软件,大部分时候很悠闲


注:你可以通过右键 在沙盘中运行 将程序置于沙盘的监控中

[ 本帖最后由 ubuntu 于 2009-4-8 04:59 编辑 ]

入口防御 —— 打造安全的浏览器




浏览器使用IE(6/7/8),主要是不需要下载、安装。
其实,我最不熟悉的是IE内核的浏览器,所以嘛讲错了,请多多谅解。
本来,是想讲Opera的,因为稍微知道一些,但是还要下载安装程序,放弃。

Sandboxie 最近一年,尤其是这几个月的更新,
使我认为,Sandboxie 是普通用户现阶段沙盘软件的首选!

几乎不需要设置;
中文化支持;
非常容易注册,使用全功能;
强制运行的增强,可以完全保护U盘;
Sandboxie Control的增强,几乎可以用图形界面完成所有的设置;
DropRights 进一步提高安全性。


入口防御包括浏览器和U盘
其中,浏览器安全是最重要的,
对于我来说,保护浏览器可以防御80%-90%的威胁,甚至更高


下面,我以IE7为例,介绍一下自己在这方面的想法

为了给IE一个安全隔离的环境,需要单独的一个沙盘

Sandboxie 控制 --> 沙盘 -->创建新沙盘 --> IE8、IE7或IE6




=============================================================================================

接下来,沙盘设置 - IE7

外观 --> 在窗口标题中显示沙盘名

出现多沙盘以后,通过沙盘名可以确定IE所在的沙盘




=============================================================================================


快速恢复
添加自己的下载文件夹,例如:F:\Downloads
默认的我的文档、收藏夹、桌面目录,可以根据习惯,保留或删除





=============================================================================================


立即恢复 是否启用,看个人习惯




=============================================================================================


删除 --> 调用 --> 自动删除沙盘中保存的内容




=============================================================================================


程序启动 --> 强制运行程序 --> 添加程序名 --> iexplore.exe
如果IE在沙盘外启动,将强制其在沙盘中运行




=============================================================================================


程序停止 --> 主要程序 --> 添加程序名 --> iexplore.exe

IE是沙盘的主程序,结束IE就会结束沙盘中的所有其它程序




=============================================================================================


限制 --> Internet访问 --> 添加程序名 --> iexplore.exe

IE是沙盘中唯一可以访问网络的程序
极大的提高了反泄露能力,保护隐私




=============================================================================================


限制 --> 启动/运行访问 --> 添加程序名 --> 

iexplore.exe

IE是沙盘中唯一可以运行的程序
任何恶意软件无法运行,极大提高系统安全和反泄露能力





=============================================================================================


限制 --> 程序降权 --> 从管理员与超级用户组降权
削去管理员安全特权,还是提高安全性




=============================================================================================


资源访问 --> 文件访问 --> 阻止访问 --> 添加自己的重要、私密文件、目录 
限制了所有访问,包括读取,保护个人隐私




经过上面的设置,IE已经有很高的安全性,并且满足日常使用的要求
可以用来访问需要很高安全性要求的网站





下面这些设置会牺牲一些安全性,换取更大的易用性,用于平时上网浏览
你可以新建一个沙盘使用上面的设置,或者直接修改原来的沙盘


如果经常向收藏夹添加网址,建议作如下修改:
应用程序 --> 网页浏览器 --> 允许直接访问 IE 收藏夹


如果要将 IE自动保存的密码、搜索历史、自动填写表单 保存到真实系统(个人不推荐)
应用程序 --> 网页浏览器 --> 允许完全访问受保护的存储和自动完成记录




如果经常下载文件,建议建立一个下载临时目录比如,F:\Downloads\Temp,加入直接访问
临时目录下的文件,确定没有病毒之后,再用资源管理器移动到对应的分类目录,安装程序、文档、图片
、电影。。。,没有确认的继续留在临时目录里,重点监控。

平时上网可能会用IE调用很多程序,比如下载程序(迅雷、快车...),输入法程序(搜狗...),解压软件
(winrar、7-zip),记事本。。。, 可能还需要访问Internet


需要修改以下设置,根据自身情况添加:


限制 --> Internet访问 --> 添加程序名/选择文件 --> 

thunder5.exe、pinyinup.exe




=============================================================================================


限制 --> 启动/运行访问 --> 添加程序名 --> 

thunder.exe,thunder5.exe,imeutil.exe,pinyinup.exe,notepad.exe,winrar
.exe




=============================================================================================


保存对输入法设置的更改
资源访问 --> 文件访问 --> 直接访问 --> 编辑/添加 --> 

%AppData%\SogouPY\





=============================================================================================


对下载临时目录进行限制,将下载目录加入强制运行
因为下载临时目录里的程序是不安全的,安全的已经被移动到其它目录
为了防止被病毒利用或者自己手痒点击,强制沙盘运行

程序启动 --> 强制运行文件夹 



下载临时目录,可以仿照我对IE的设置单独建立一个沙盘,这里不再讲。
经常下载软件的话,下载工具也可以独立建立一个沙盘


浏览器安全,暂时讲完了
下面是IE7 沙盘的配置文件
可以复制到 C:\Windows\Sandboxie.ini里,使用、参考、学习
有些阻止访问文件规则,参照spbic 的EQS网马规则,感谢!



IE7 安全浏览 配置文件

  1. [GlobalSettings]
  2. ProcessGroup=,iexplore.exe.exe,sandboxiedcomlaunch.exe,sandboxierpcss.exe,sandboxiecrypto.exe,start.exe
  3. ProcessGroup=,iexplore.exe
  4. [IE7]
  5. Enabled=y
  6. ConfigLevel=4
  7. BoxNameTitle=y
  8. BorderColor=#00FFFF,off
  9. RecoverFolder=F:\Downloads
  10. RecoverFolder=%Favorites%
  11. RecoverFolder=%Desktop%
  12. AutoRecover=n
  13. AutoDelete=y
  14. NeverDelete=n
  15. DeleteCommand=%SystemRoot%\System32\cmd.exe /c RMDIR /s /q "%SANDBOX%"
  16. ForceProcess=iexplore.exe
  17. LeaderProcess=iexplore.exe
  18. CopyLimitKb=49152
  19. CopyLimitSilent=y
  20. NotifyInternetAccessDenied=n
  21. NotifyStartRunAccessDenied=n
  22. DropAdminRights=y
  23. ClosedFilePath=!,\Device\RawIp6
  24. ClosedFilePath=!,\Device\Udp6
  25. ClosedFilePath=!,\Device\Tcp6
  26. ClosedFilePath=!,\Device\Ip6
  27. ClosedFilePath=!,\Device\RawIp
  28. ClosedFilePath=!,\Device\Udp
  29. ClosedFilePath=!,\Device\Tcp
  30. ClosedFilePath=!,\Device\Ip
  31. ClosedFilePath=!,\Device\Afd*
  32. ClosedFilePath=E:\重要文件\
  33. ClosedFilePath=E:\系统备份\
  34. ClosedFilePath=*.bat
  35. ClosedFilePath=*.com
  36. ClosedFilePath=*.cmd
  37. ClosedFilePath=*.pif
  38. ClosedFilePath=*.vbs
  39. ClosedFilePath=*.scr
  40. ClosedFilePath=*.hta
  41. ClosedFilePath=*.gho
  42. ClosedFilePath=*\wshom.ocx
  43. ClosedFilePath=*\scrrun.dll
  44. ClosedFilePath=*\msado15.dll
  45. ClosedFilePath=*\msadco.dll
  46. ClosedIpcPath=!,*
复制代码



=============================================================================================


IE7 普通浏览
  1. [GlobalSettings]
  2. ProcessGroup=,iexplore.exe,thunder.exe,thunder5.exe,imeutil.exe,pinyinup.exe,notepad.exe,winrar.exe,,sandboxiedcomlaunch.exe,sandboxierpcss.exe,sandboxiecrypto.exe,start.exe
  3. ProcessGroup=,iexplore.exe,thunder5.exe,pinyinup.exe
  4. [IE7]
  5. Enabled=y
  6. ConfigLevel=4
  7. BoxNameTitle=y
  8. BorderColor=#00FFFF,off
  9. RecoverFolder=F:\Downloads
  10. RecoverFolder=%Favorites%
  11. RecoverFolder=%Desktop%
  12. AutoRecover=n
  13. AutoRecoverIgnore=.td.cfg
  14. AutoRecoverIgnore=.td
  15. AutoRecoverIgnore=.jc!
  16. AutoRecoverIgnore=.part
  17. AutoDelete=y
  18. NeverDelete=n
  19. DeleteCommand=%SystemRoot%\System32\cmd.exe /c RMDIR /s /q "%SANDBOX%"
  20. ForceFolder=F:\Downloads\Temp
  21. ForceProcess=iexplore.exe
  22. LingerProcess=pinyinup.exe
  23. LingerProcess=imeutil.exe
  24. LeaderProcess=iexplore.exe
  25. CopyLimitKb=49152
  26. CopyLimitSilent=y
  27. NotifyInternetAccessDenied=n
  28. NotifyStartRunAccessDenied=n
  29. DropAdminRights=y
  30. OpenFilePath=iexplore.exe,%Favorites%\*.url
  31. OpenFilePath=iexplore.exe,%Favorites%\*.ico
  32. OpenFilePath=iexplore.exe,F:\Downloads\Temp\
  33. OpenFilePath=thunder5.exe,F:\Downloads\Temp\
  34. OpenFilePath=thunder5.exe,*\Profiles\history6.dat*
  35. OpenFilePath=,%AppData%\SogouPY\
  36. ClosedFilePath=!,\Device\RawIp6
  37. ClosedFilePath=!,\Device\Udp6
  38. ClosedFilePath=!,\Device\Tcp6
  39. ClosedFilePath=!,\Device\Ip6
  40. ClosedFilePath=!,\Device\RawIp
  41. ClosedFilePath=!,\Device\Udp
  42. ClosedFilePath=!,\Device\Tcp
  43. ClosedFilePath=!,\Device\Ip
  44. ClosedFilePath=!,\Device\Afd*
  45. ClosedFilePath=E:\重要文件\
  46. ClosedFilePath=E:\系统备份\
  47. ClosedFilePath=*.bat
  48. ClosedFilePath=*.com
  49. ClosedFilePath=*.cmd
  50. ClosedFilePath=*.pif
  51. ClosedFilePath=*.vbs
  52. ClosedFilePath=*.scr
  53. ClosedFilePath=*.hta
  54. ClosedFilePath=*.gho
  55. ClosedFilePath=*\wshom.ocx
  56. ClosedFilePath=*\scrrun.dll
  57. ClosedFilePath=*\msado15.dll
  58. ClosedFilePath=*\msadco.dll
  59. OpenIpcPath=,*\BaseNamedObjects*\mem_user_dict*
  60. ClosedIpcPath=!,* 
复制代码





休息时间

其实对于隔离程序访问网络进行限制,在GeSWall也可以看到
将Network设置为 Confidential
这样任何隔离程序访问网络,必须添加程序规则

GeSWall 2.8.3 还可以限制信任程序访问网络
将Network设置为 Restricted for Trusted
这样隔离程序和信任程序访问网络都必须添加程序规则

[ 本帖最后由 ubuntu 于 2009-4-8 05:10 编辑 ]
 
 
已有 3 人评分 人气 收起理由
 羽化仙 + 1 精品
 magiscoldeye + 1 这必须加魅力或者技术值啊!我穷...只能...
 alankoh + 1 精品文章

总评分: 人气 + 3   查看全部评分

 
 
回复

举报

   
ubuntu

0

主题

0

听众

5047

积分

卡饭_荣誉版主

Rank: 7Rank: 7Rank: 7

积分
5047
技术
10
魅力
7
人气
92
注册时间
2006-10-17

二级技术勋章 不可磨灭勋章

  • 收听TA
  • 发消息
3
 
  发表于 2009-1-20 15:58  | 只看该作者
入口防御 ——U盘防御


以U盘为代表的移动存储设备,是病毒利用AutoRun来感染系统的入口

沙盘完全可以防御任何来自U盘的威胁

用我的沙盘规则去防御U盘病毒,需要符合以下要求:
1. 不需要或禁止在U盘运行任何程序;
2. 不在资源管理器中双击直接编辑U盘上的文档
3. 我要防的就是自动运行和用户不慎点击运行U盘病毒
至于编辑文档的安全,杀软完全可以搞定;不行的话,换杀软


Sandboxie 控制 --> 沙盘 -->创建新沙盘 --> USBDisk




=============================================================================================


沙盘设置 - USBDisk

程序启动 --> 强制运行文件夹 --> 添加文件夹 U盘,例设 J:\
BT点的话,可以将除硬盘和光驱外所有的盘符加进去:A:\、B:\、J:\ —— Z:\




=============================================================================================


限制 --> Internet访问 --> 拦截所有程序,没有程序可访问Internet




=============================================================================================


限制 --> 启动/运行访问 --> (无),没有程序可以启动、运行




=============================================================================================


限制 --> 程序降权 --> 从管理员与超级用户组降权




=============================================================================================


资源访问 --> IPC访问 --> 阻止访问 IPC --> 添加 *   应用到所有程序




=============================================================================================


以上是主要设置
下面是一些枝节,可选设置

外观 --> 在窗口标题中显示沙盘名




=============================================================================================


恢复 --> 快速恢复 --> 清空




=============================================================================================


恢复 --> 立即恢复 --> 不启用 




=============================================================================================


删除 --> 调用 --> 自动删除沙盘中保存的内容




=============================================================================================


程序停止 --> 驻留程序 --> 清空




=============================================================================================


文件迁移 改小点吧 4096KB




=============================================================================================


USBDisk 配置文件

  1. [USBDisk]
  2. Enabled=y
  3. ConfigLevel=4
  4. BoxNameTitle=y
  5. BorderColor=#00FFFF,off
  6. AutoDelete=y
  7. NeverDelete=n
  8. DeleteCommand=%SystemRoot%\System32\cmd.exe /c RMDIR /s /q "%SANDBOX%"
  9. ForceFolder=J:\
  10. CopyLimitKb=4096
  11. CopyLimitSilent=y
  12. NotifyInternetAccessDenied=n
  13. NotifyStartRunAccessDenied=n
  14. DropAdminRights=y
  15. ClosedFilePath=\Device\RawIp6
  16. ClosedFilePath=\Device\Udp6
  17. ClosedFilePath=\Device\Tcp6
  18. ClosedFilePath=\Device\Ip6
  19. ClosedFilePath=\Device\RawIp
  20. ClosedFilePath=\Device\Udp
  21. ClosedFilePath=\Device\Tcp
  22. ClosedFilePath=\Device\Ip
  23. ClosedFilePath=\Device\Afd*
  24. ClosedIpcPath=*
复制代码





面向初、中级入口防御到此结束
下面是沙盘设置和Sandboxie.ini配置文件,属于高级部分

注意:导入设置时,注意按照自己的情况调整U盘和下载目录。


[ 本帖最后由 ubuntu 于 2009-3-1 03:10 编辑 ]
沙盘尽在掌握 ——沙盘设置和Sandboxie.ini




设置沙盘可以通过Sandboxie 控制 沙盘设置和 编辑Sandboxie.ini两种方式实现
一般用户推荐用沙盘设置的方式,关于Sandboxie.ini可以跳过不看,或者稍微了解一下

Sandbox Settings和Sandboxie.ini 是设置Sandboxie的两种方式。

Sandboxie.ini 是Sandboxie的配置文件,通过编辑Sandboxie.ini可以控制沙盘中程序的行为
一个自定义的Sandboxie.ini可以提供更高的安全保护。
Sandbox Settings
是Sandboxie.ini的图形前端,最近更新的版本强化了Sandbox Settings
基本上可以完成所有的Sandboxie.ini设置。
实际上,Sandbox Settings
最终还是通过修改Sandboxie.ini来完成设置工作。

Sandbox Settings 图形界面,老少皆宜,Sandboxie.ini 适合老手。

要完全控制Sandboxie,Sandboxie.ini是最直接有效的。

下面就要讲Sandboxie.ini,为了便于理解,我用Sandboxie Control 进行对照。
拆解Sandbox Settings每个设置与Sandboxie.ini之间的对应关系。


Sandboxie.ini保存位置

Sandboxie.ini 搜索顺序:1. Windows目录,C:\Windows\Sandboxie.ini ,这是安装以后生成的
2. Sandboxie的安装目录 C:\Program Files\Sandboxie\Sandboxie.ini 
如果在1搜索到,读取设置,位置2就被忽略了。
 
如果将Sandboxie.ini剪切到位置2,手动重新载入设置,以后配置文件就保存到Sandboxie的安装目录。

老手建议使用位置2

注:如果是通过编辑配置文件来修改Sandboxie.ini,保存设置,退出编辑器以后,会自动调用重新载入配置;
如果是覆盖原来的Sandboxie.ini配置文件,需要手动重新载入配置
新的配置文件对沙盘中已经运行的程序无效,必须退出程序,重新运行,应用新配置。
修改Sandboxie.ini之后,最好终止所有沙盘程序,再重新启动。



我现在打开安装以后的Sandboxie.ini,然后通过不断加入新的设置项来解读Sandboxie的设置。
大部分是我自己的设置,某些例子是取自官网帮助。

默认的设置文件大致如下:

  1. [GlobalSettings]
  2. [DefaultBox]
  3. Enabled=y
  4. ConfigLevel=4
  5. AutoRecover=y
  6. AutoRecoverIgnore=.jc!
  7. AutoRecoverIgnore=.part
  8. RecoverFolder=%Personal%
  9. RecoverFolder=%Favorites%
  10. RecoverFolder=%Desktop%
  11. LingerProcess=syncor.exe
  12. LingerProcess=jusched.exe
  13. LingerProcess=acrord32.exe
  14. [UserSettings_125202A4]
  15. SbieCtrl_UserName=username
  16. SbieCtrl_ShowWelcome=N
  17. SbieCtrl_ReSyncContextMenu=N
  18. SbieCtrl_NextUpdateCheck=1231812532
  19. SbieCtrl_UpdateCheckNotify=Y
  20. SbieCtrl_BoxExpandedView_DefaultBox=Y
复制代码




Sandboxie.ini 的文件结构

[GlobalSettings]
全局设置
这里的设置会影响所有的Sandbox、所有用户
默认这里是空的


[DefaultBox]
沙盘 DefaultBox的配置信息,只能作用于这个沙盘。
注:沙盘名由字母和数字组成,最大长度32个字符。


[UserSettings_125202A4]
用户的个人配置,对安全没有影响。主要是Sandboxie 控制里的用户、外观、升级、和Shell集成、是否随机启动
不做讲解。以后在配置文件里从略。


基本语法

在Sandboxie中程序名是文件名,不包括完整路径

iexplore.exe - 正确
C:\Program Files\Internet Explorer\iexplore.exe - 错误

程序和操作对象之间用逗号 , 分开

! 代表除...之外, 逻辑非

OpenFilePath=iexplore.exe,%Favorites%
ClosedFilePath=!iexplore.exe,%Favorites%

OpenFilePath=iexplore.exe,%Favorites%
允许IE直接访问收藏夹目录
%Favorites% 表示收藏夹,环境变量

ClosedFilePath=!iexplore.exe,%Favorites%
阻止IE以外的其它程序直接访问收藏夹

组合在一起,就是只允许IE直接访问收藏夹
阻止任何其它程序访问收藏夹,包括读取




[DefaultBox]
OpenFilePath=C:\Downloads\
OpenFilePath=*.eml
OpenFilePath=iexplore.exe,%Favorites%
OpenFilePath=msimn.exe,*.eml

OpenFilePath=C:\Downloads\
前面没有特定程序,表示所有程序
C:\Downloads\   注意一定要加最后的反斜杠,Sandboxie在解释时会自动转换为C:\Downloads\*
自动加入*通配符,表示C:\Downloads 目录下和所有子目录下的文件

OpenFilePath=*.eml
表示扩展名为eml的所有文件

OpenFilePath=iexplore.exe,%Favorites%
允许IE直接访问收藏夹目录
%Favorites% 表示收藏夹,环境变量

OpenFilePath=msimn.exe,*.eml
允许Outlook 直接访问任何 eml文件




沙盘设置拆解

为了便于讲解,不影响DefaultBox,也为了安全的需要,我们创建一个新沙盘,取名Firefox。
前面已经讲过IE了,现在换一个,Firefox 3.xx。

再看一个配置文件:

  1. [Firefox]
  2. Enabled=y
  3. ConfigLevel=4
  4. AutoRecover=y
  5. AutoRecoverIgnore=.jc!
  6. AutoRecoverIgnore=.part
  7. RecoverFolder=%Personal%
  8. RecoverFolder=%Favorites%
  9. RecoverFolder=%Desktop%
  10. LingerProcess=syncor.exe
  11. LingerProcess=jusched.exe
  12. LingerProcess=acrord32.exe
复制代码

[Firefox]
代表沙盘Firefox

Enabled=y
表示允许在这个沙盘运行程序
Enabled=n
表示禁止在这个沙盘运行程序

ConfigLevel=4
ConfigLevel 这个设置在3以后的版本已经废弃了,不用管它,保持默认。



打开沙盘设置 - Firefox,由上至下

外观 Appearance

BoxNameTitle=-
不在标题栏显示沙盘标志
BoxNameTitle=y
在标题栏显示沙盘名
BoxNameTitle=n
在标题栏不显示沙盘名

环绕边框
BorderColor=#00FFFF
显示一个黄色的环绕边框
BorderColor=#00FFFF,off
不显示环绕边框

3.34版,颜色使用的16进制HTML-RGB格式,从左至右依次是绿
貌似是bug,正常顺序是红、绿、蓝

很特殊,边框颜色的修改是即时生效的。




=============================================================================================


恢复 Recover

RecoverFolder=%Personal%
RecoverFolder=%Favorites%
RecoverFolder=%Desktop%

快速恢复目录
%Personal% 我的文档目录
%Favorites% 收藏夹目录
%Desktop% 桌面





AutoRecover=y
表示启用立即恢复
AutoRecover=n
表示禁用立即恢复

AutoRecoverIgnore=.jc!
AutoRecoverIgnore=.part

表示立即恢复功能排除扩展名为.jc!、.part的文件




=============================================================================================


删除 Delete

AutoDelete=y
NeverDelete=n

当沙盘里没有程序运行,自动删除沙盘里的内容
如果沙盘中存在可恢复文件,在删除前会自动调用快速恢复


AutoDelete=n
NeverDelete=y

禁止移除沙盘或删除沙盘里的内容




=============================================================================================


DeleteCommand=%SystemRoot%\System32\cmd.exe /c RMDIR /s /q "%SANDBOX%"
手动或自动删除沙盘文件所调用的系统命令 RMDIR
如果留空,默认系统命令是 RMDIR (删除目录)
%SANDBOX%" 表示沙盘目录

SDelete 和 Eraserl 是需要下载安装的第三方安全删除文件工具




=============================================================================================


程序启动 Program Start
设置强制在沙盘里运行的程序


强制运行文件夹 Forced Folders
强制运行文件夹,目录下的所有程序,一旦在沙盘外启动,都会被强行拖进沙盘运行
如果其已在其它沙盘里运行,则不适用此项
如果是非可执行文件,那么和它关联的程序将被拖进沙盘
例如,强制运行目录,双击一个txt文件,记事本就会进入沙盘

我们可以将U盘(假设是:J:\)加入强制运行目录,这样无论是打开U盘文件,还是运行U盘程序
都是在沙盘中,不会影响真实系统,这样可以防U盘病毒,保证系统安全

ForceFolder=J:\

Forced Folders 优先级高于 Forced Programs





=============================================================================================


强制运行程序 Forced Programs 
强制运行程序,一旦程序在沙盘外启动,就会被强制拖入沙盘里运行
如果其已在其它沙盘里运行,则不适用此项
通常,我们会将浏览器等病毒入口程序加入到Forced Programs 

注意程序名使用的是文件名,而不是完整路径
例如 IE
正确:iexplore.exe
错误:C:\Program Files\Internet Explorer\iexplore.exe
ForceProcess=iexplore.exe

例如 Firefox
正确:firefox.exe
错误:C:\Program Files\Mozilla Firefox\firefox.exe
ForceProcess=firefox.exe

Forced Programs 优先级低于 Forced Folders 




=============================================================================================


程序停止 Program Stop 
设置沙盘自动终止的驻留程序

驻留程序 Lingering Programs
沙盘里的程序启动一个新程序(子程序),新程序会在相同沙盘里运行
当主程序退出以后,子程序不一定会自动退出
比如:用IE去查看一个PDF文件,Adobe Reander(acrord32.exe)在IE结束以后,还会继续存在,不自动退出。
用搜狗拼音时,imeutil.exe、pinyinup.exe,也不会自动退出
我们将pinyinup.exe 加入 Lingering Programs
如果沙盘里只剩下以上程序,沙盘会自动结束其进程

LingerProcess=imeutil.exe
搜狗拼音输入法 辅助工具,不使用搜狗可以删掉

LingerProcess=pinyinup.exe
搜狗拼音输入法 升级工具,不使用搜狗可以删掉

LingerProcess=syncor.exe
顶星声卡驱动相关,其它声卡的可以删掉

LingerProcess=jusched.exe
Java自动更新程序,不用Java的可以删掉

LingerProcess=acrord32.exe
Adobe Reader 的进程,使用其它PDF阅读程序的,可以删掉

如果驻留程序是直接运行,而不是其它程序调用运行,那么驻留程序设置不起作用




=============================================================================================


主要程序 Leader Programs 
一旦主要程序退出,沙盘里的其它程序全部终止
这样做,简化设置,不用写一堆LingerProcess,直接一条LeaderProcess 搞定
比如说:设置Firefox是Leader Programs ,IE退出,其它程序就结束运行

LeaderProcess=firefox.exe

 




=============================================================================================


文件迁移 File Migration Settings
文件迁移设置
默认,沙盘里的程序是不能直接修改系统文件,修改的是沙盘里的替身
先要从真实系统复制一个一模一样的文件到沙盘里,这个过程就是迁移
如果迁移一个过大的文件,比如好几G的文件,这样会影响效率,浪费时间,浪费空间
所以,要给迁移的文件大小,设置一个上限
超过这个上限,文件就不会复制到沙盘里,不能修改(只读),并且会弹出一个提示
默认上限是49152KB,48MB,已经足够大,常用的网络程序不会迁移这么大的文件

CopyLimitKb=49152
CopyLimitSilent=y
当文件超过迁移上限,不弹出提示
CopyLimitSilent=n
当文件超过迁移上限,弹出提示

对于迁移文件,常见的错误理解
1.超过迁移文件上限,会直接修改真实系统的文件
完全错误,超过迁移上限的文件,是只读访问,不能被修改,并且不会复制到沙盘里

2.超过迁移上限的下载文件,会直接建立在真实系统或者不能完成下载
完全错误,迁移是将系统中已有的文件复制到沙盘里,在沙盘中修改
下载是在沙盘里建立系统原来没有的新文件
迁移上限只对系统已有文件迁移进入沙盘起作用
对于沙盘程序新建立的新文件,没有大小限制
哪怕是1M的上限,下载1G的文件,只要硬盘空间足够大,完全没有问题


如果,你将浏览器迁移上限设置成几百M或者几G,说明你对迁移上限的理解有误。




=============================================================================================


限制 Restrictions

沙盘对于来自外部的攻击,具有非常强的防御能力。
默认设置,不调整规则的话,只要浏览器是在沙盘里运行,不论是什么挂马、一般0day,这个洞,那个洞,只要结束浏览器进程,清空沙盘,就OK,不影响真实系统。

对于信息泄露,由内到外,沙盘的默认规则是不够的。要借助第三方防火墙。
这就是为什么,GeSWall、DefenseWall在新版都要加入类似于防火墙的功能,对程序联网进行控制。这样,在网络部分,直接用系统自带的防火墙防外,沙盘防火墙防内。

Sandboxie的Restrictions,提供了网络访问控制(类似应用程序防火墙 ND),运行控制,进程间通讯控制
,驱动、全局钩子、模拟键盘鼠标 (AD),降低用户权限(SD)

通过设置Restrictions,完善规则,可以极大提高沙盘的安全性,特别是对隐私信息的保护

以上这些主要是通过策略限制来实现的。
沙盘的本质在隔离,创建一个不影响真实系统的测试环境
重定向、虚拟化、策略限制都只是手段而已,看你如何运用。


下面看,具体设置:

Internet 访问 Internet Access
提供一个网络访问的白名单,只允许白名单里的程序访问网络,其它程序禁止访问网络,类似应用程序防火墙功能。
实际上,白名单反映到设置文件上就是建立一个程序组,只允许该组成员访问网络。

在Internet Access 加入Firefox
会在全局设置 [GlobalSettings] 加入一个程序组,组名,这个组只有一个组成员

firefox.exe

ProcessGroup=,firefox.exe

然后在 [Firefox]里加入一段:

ClosedFilePath=!,\Device\RawIp6
ClosedFilePath=!,\Device\Udp6
ClosedFilePath=!,\Device\Tcp6
ClosedFilePath=!,\Device\Ip6
ClosedFilePath=!,\Device\RawIp
ClosedFilePath=!,\Device\Udp
ClosedFilePath=!,\Device\Tcp
ClosedFilePath=!,\Device\Ip
ClosedFilePath=!,\Device\Afd*



   沙盘Firefox 网络访问白名单
!  沙盘Firefox 网络访问黑名单 

阻止(也就是firefox.exe)以外的程序访问这些特殊的系统网络设备
换句话,只允许
(也就是firefox.exe)访问网络
! 代表非,!
,代表除了以外的其它程序
举个通俗例子:!<男人>,代表女人+; !<女人>代表男人+; !<男人,女人>,代表特殊人群
ClosedFilePath 后面再讲。


NotifyInternetAccessDenied=n
阻止程序访问网络以后不通知用户
NotifyInternetAccessDenied=y
阻止程序访问网络以后通知用户




=============================================================================================


启动/运行访问 Start/Run Access
通过建立一个白名单,只允许特定的程序运行,阻止其它程序运行。
实际上,白名单反映到设置文件上就是建立一个程序组,只允许该组成员运行

在Start/Run Access 加入Firefox
会在全局设置 [GlobalSettings] 加入一个程序组,组名
这个组只有一个组成员 firefox.exe

ProcessGroup=,firefox.exe

然后在 [Firefox]里加入
ClosedIpcPath=!,*

阻止组(也就是firefox.exe)以外的程序访问任何IPC对象,结果就是禁止运行。
换句话,只允许组(也就是firefox.exe)运行


   沙盘Firefox 启动/运行白名单
!  沙盘Firefox 启动/运行黑名单


NotifyStartRunAccessDenied=n
阻止程序运行以后不通知用户
NotifyStartRunAccessDenied=y
阻止程序运行以后通知用户

ClosedIpcPath 后面再讲,*代表所有IPC对象

 



这样Firefox沙盘里只有Firefox进程可以访问网络和运行,访问有网马和漏洞的网站
网马运行不起来,keylogger程序也无法运行,隐私信息不会泄露。
目前,GeSWall 2.8.3 是沙盘里防信息泄露最强悍的,甚至超过了几乎所有各类HIPS
OnlineArmor 除外,OnlineArmor 3.1 Beta 收费版是所有HIPS里防信息泄露最强的

Sandboxie 的防键盘记录、屏幕记录、剪切板记录 没有什么改进
Sandboxie 可以防御,安装Windows 钩子或者驱动来记录键盘输入
对于AKLT 之类的高级键盘记录,几乎没有防御能力

不过,Sandboxie 使用另外一种办法来保护隐私泄露
很简单有效,就是白名单,除了白名单程序,禁止连网,禁止运行,再加上自动倒沙


举个例子
进行网上交易前,终止所有沙盘程序,清空有可能带来病毒的沙盘内容
在设置好白名单的沙盘里,运行IE,当然之前,要保证IE加载的插件是干净的
因为有白名单,病毒、键盘记录程序是无法运行的,根本无法记录密码
因为有自动倒沙,结束IE之后,下次运行,依然是一个干净的环境
安全没有100%,但是只要你学会规范使用沙盘,你的隐私、密码保护可以接近100%

因为还有其它的键盘记录的方式,比如跨域脚本(XSS),所有HIPS都防不了,包括沙盘
防御XSS,使用一个安全的浏览器是很重要的,IE核心,我只会用TheWorld
非IE核心,我认为,Opera的安全性强于Firefox
不过,由于有NoScript这种BT扩展的存在,情况可能会不一样
所以,如果你使用Firefox,一定要安装NoScript这个BT扩展,对于防御XSS是非常有效的


=============================================================================================


程序降权 DropRights
降低用户权限,将管理员、Power Users 用户特权移除
DropAdminRights=y
沙盘中的程序以普通用户权限运行




=============================================================================================


底层访问 Low-level Access
底层权限,默认都是阻止的,允许的话会降低沙盘安全性。

BlockDrivers=y
阻止加载驱动
BlockDrivers=n
允许加载驱动,不是安装新驱动
加载驱动和安装新驱动是两回事

BlockWinHooks=y
阻止安装全局钩子
BlockWinHooks=n
允许安装全局钩子

BlockFakeInput=y
阻止模拟键盘鼠标输入
BlockFakeInput=n
允许模拟键盘鼠标输入




=============================================================================================


资源访问 Resource Access
默认沙盘里的程序不能直接访问系统资源,这里可以设置一些例外规则
例如:
可以让浏览器或下载软件直接访问下载目录
可能通过允许访问某些特殊类型资源,解决冲突问题

文件访问 File Access、注册表访问 Registry Access、IPC 访问 IPC Access
窗口访问 Window Access、COM访问 COM Access






文件访问 File Access



直接访问 Direct Acces
直接修改指定的目录或文件
对沙盘里安装的程序无效

OpenFilePath

例如:

OpenFilePath=firefox.exe,F:\Downloads\Temp\




=============================================================================================


OpenFilePath=thunder5.exe,F:\Downloads\Temp\




=============================================================================================


OpenFilePath=,%AppData%\SogouPY\




=============================================================================================


完全访问 Full Access
和Direct Acces相似,但是对程序不限制,沙盘里的程序也有效

安全性低于Direct Acces
直接访问能解决问题的地方,就不需要使用完全访问。

还有一个不同,Full Access可以访问命名管道

OpenPipePath

例如:
OpenPipePath=%AppData%\SogouPY\

OpenPipePath=\Device\NamedPipe\wkssvc
OpenPipePath=\Device\NamedPipe\srvsvc

允许沙盘中的程序通过 wkssvc和srvsvc 管理网络共享和用户账户





=============================================================================================


阻止访问 Blocked Access
阻止对文件资源的访问,包括读取、修改
优先级高于其它文件资源访问规则

ClosedFilePath

例如:
ClosedFilePath=C:\boot.ini
ClosedFilePath=C:\bootfont.bin





=============================================================================================


ClosedFilePath=!,\Device\RawIp6
ClosedFilePath=!,\Device\Udp6
ClosedFilePath=!,\Device\Tcp6
ClosedFilePath=!,\Device\Ip6
ClosedFilePath=!,\Device\RawIp
ClosedFilePath=!,\Device\Udp
ClosedFilePath=!,\Device\Tcp
ClosedFilePath=!,\Device\Ip
ClosedFilePath=!,\Device\Afd*





=============================================================================================


ClosedFilePath=!,* 




=============================================================================================


只读访问 Read-Only Access
直接读取真实系统文件,不允许修改,没有沙盘重定向

ReadFilePath

例如:
ReadFilePath=C:\Program Files\Avira\




=============================================================================================


注册表访问 Registry Access

直接访问 Direct Access
直接修改系统注册表,对于安装在沙盘里的程序无效
出于安全考虑,注册表访问没有完全访问

OpenKeyPath

例如:
OpenKeyPath=firefox.exe,HKEY_LOCAL_MACHINE\Software\Mozilla
OpenKeyPath=firefox.exe,HKEY_CURRENT_USER\Software\Mozilla





=============================================================================================


阻止访问 Blocked Access
阻止对注册表的一切访问
高优先级

ClosedKeyPath

例如:
ClosedKeyPath=HKEY_LOCAL_MACHINE\System\Comodo*




=============================================================================================


ClosedKeyPath=!,*




=============================================================================================


只读访问 Read-Only Access

ReadKeyPath

例如:
ReadKeyPath=HKEY_LOCAL_MACHINE\SOFTWARE\Policies




=============================================================================================


IPC 访问 IPC Access
NT IPC对象 Windows的进程(线程)间通信所建立的对象

Sandboxie 的IPC 对象包括
事件对象 Event 
互斥对象 Mutant 
共享内存区对象 Section 
信标对象 Semaphore 
LPC 端口对象 Port


具体什么是Sandboxie里的IPC对象,可以通过Sandboxie 控制 文件 资源访问监控 看到 
通常是 \BaseNamedObjects、\RPC Control

注:命名管道(Named Pipe) 要设置文件资源完全访问 (OpenPipePath)

允许直接访问IPC对象,使沙盘内程序可以直接访问沙盘外程序所提供的资源和服务
会降低沙盘的安全性,使程序的某些行为,不再被沙盘监控,不推荐使用
除非是为了解决程序和Sandboxie冲突,必须允许对某些IPC对象的直接访问。



=============================================================================================


直接访问 Direct Access
允许所有程序访问NT IPC对象,包括沙盘内下载、安装的程序

OpenIpcPath

例如(翻译:baerzake):
OpenIpcPath=\RPC Control\!IcaApi
OpenIpcPath=\RPC Control\seclogon


第一个例子 OpenIpcPath=\RPC Control\!IcaApi 就是允许访问终端服务子系统所提供的资源。能让沙盘中程序与此子系统对话并且发现活动在系统中的其他终端服务。但是允许访问这个资源同时也会被恶意程序利用来终止沙盘外的程序。 

第二个例子是允许访问\RPC Control\seclogon。这个是指允许访问WINDOWS Run As 服务所提供的资源。它能让沙盘中的程序调用运行另一个使用不同用户证书的程序。并且,这个被调用的程序会在沙盘外被执行,不受沙盘控制。




=============================================================================================


阻止访问 Blocked Access
阻止对IPC对象的访问,优先级高于直接访问

Sandboxie 对于一些常用的系统IPC对象,进行了例外处理
阻止访问IPC 可以用来彻底阻止这种类型的例外
阻止访问IPC 还可以用来只允许特定程序启动、运行或者阻止所有程序启动、运行

ClosedIpcPath

例如:
ClosedIpcPath=!,*
ClosedIpcPath=!,*
ClosedIpcPath=*




=============================================================================================


窗口访问 Windows Access

通常Sandboxie不允许沙盘内程序访问、通信、关闭或销毁沙盘外的窗口
窗口访问就是为了设置例外规则
目的还是为了解决冲突
窗口名window class name,可以用资源访问监控来获取

OpenWinClass

例如:
OpenWinClass=ConsoleWindowClass
OpenWinClass=ATL:*
OpenWinClass=*





=============================================================================================


COM访问 COM Access

沙盘内的程序默认是不能访问沙盘外程序提供的COM组件服务
允许访问特定的COM组件,也是为了解决在使用中的问题,提供例外设置
COM 是有可能造成信息泄露的,比如PCFlank测试

OpenClsid

例如:
OpenClsid={D713F357-7920-4B91-9EB6-49054709EC7A}




=============================================================================================


应用程序 没什么好讲的
主要是按照设置,自动生成收藏夹、书签、邮箱的直接访问规则
稍微讲一下受保护的存储和自动完成记录

实际上是一个系统服务 Protected Storage,简称 PStore
是为应用程序的安全保存提供一个接口
保存了一些微软他们家程序的隐密信息,如:
1. Outlook 密码
2. Internet Explorer中自动保存的密码
3. Internet Explorer中有密码保护的网站
4. MSN Explorer浏览器登录账户密码
5. IE自动完成的资料(例如填表时的个人资料、搜索历史)
有像Protected Storage PassView这类密码查看工具存在,是否保存到系统,看个人选择。




=============================================================================================


一些分散在菜单里,沙盘设置里没有或只能用Sandboxie.ini添加的设置项

AlertProcess
全局设置,当任何以下程序在沙盘外启动时,Sandboxie 会发出 SBIE1301 信息
可以在配置菜单,警告提示设置


[GlobalSettings]
AlertProcess=iexplore.exe
AlertProcess=firefox.exe
 

=============================================================================================

ForceDisableSeconds
禁用强制运行程序的持续时间,默认是10秒
如果设置为0,表示禁止禁用强制运行程序
可以在文件菜单强制运行程序设置
 
[GlobalSettings]
ForceDisableSeconds=25
ForceDisableSeconds=0


=============================================================================================

ForceDisableAdminOnly
只有管理员帐户才能禁用强制运行程序
[GlobalSettings]
ForceDisableAdminOnly=y


=============================================================================================

EditAdminOnly
普通用户不能修改全局设置和沙盘设置,只能修改用户设置
[GlobalSettings]
EditAdminOnly=y


=============================================================================================

MonitorAdminOnly
只有管理员可以使用 “资源访问监控”
[GlobalSettings]
MonitorAdminOnly=y


=============================================================================================

FileRootPath
用来设置特定沙盘的根目录,默认是C:\Sandbox\%USER%\%SANDBOX%
还可以用在全局设置,为没有指定沙盘根目录的沙盘,设置默认的沙盘根目录
特定沙盘的 
FileRootPath 优先级高于 全局设置的 FileRootPath

如果,经常下载大的文件,或者在沙盘安装很多程序
将沙盘根目录放在C盘不合适,放到非系统盘D,会更好

[GlobalSettings]
FileRootPath=D:\Sandbox\%USER%\%SANDBOX%

对于,有些需要自动倒沙的,可以放到C盘,另外,沙盘根目录在C盘默认位置,兼容性最好

[IE7]
FileRootPath=C:\Sandbox\%USER%\%SANDBOX%

[Firefox]
FileRootPath=C:\Sandbox\%USER%\%SANDBOX%

[Opera]
FileRootPath=C:\Sandbox\%USER%\%SANDBOX%

如果使用Ramdisk,可以放到Z盘
[IE7]
FileRootPath=Z:\

如果,测试病毒,不想放到有常用程序的C、D盘
[Virus]
FileRootPath=F:\Sandbox\virus\

[ 本帖最后由 ubuntu 于 2009-1-21 15:55 编辑 ]

 

一个完整的沙盘设置示例


各个沙盘的用途已经标清楚了,下载临时目录强制到USBDisk里运行
因为防御的办法是一样的





如果经常使用下载软件,可以仿照浏览器设置建立一个单独的沙盘
如果,还有其它入口程序要在沙盘里运行,可以仿照DefaultBox、浏览器和Redirect沙盘建立一个多程序运行的沙盘


从安全和配置演示的角度看,下面的配置文件,在3.34版,堪称简洁、经典、完美。

只要在浏览器 文件访问--直接访问 添加自己的下载目录,在文件访问-- 阻止访问,添加自己的重要目录

在 USBDisk 添加自己的U盘

作为主力浏览器的Opera 允许的比默认规则多,可以根据自己的要求修改Opera直接访问的文件和目录

Firefox更新扩展需要禁用强制运行,在沙盘外更新

如果,你不使用红豆组合,相关的设置可以删除和修改。或者,直接用,也没有影响。



20090301  规则修订:在沙盘 [IE7] 增加对Theworld的支持
20090408  规则修订:在沙盘 [IE7] 移除 ClosedFilePath=*\shell32.dll

20090415  规则修订:支持3.36版新特性(自定义程序设置模版),增加对Chrome(Chromium)、Maxthon2的支持,沙盘[IE7]更名为[IE8]
20090601  规则修订:支持3.38版,增加支持K-Meleon


配置文件 Sandboxie.ini [Sandboxie 3.38版]

  1. [GlobalSettings]
  2. ProcessGroup=,iexplore.exe,theworld.exe,maxthon.exe,thunder.exe,thunder5.exe,imeutil.exe,pinyinup.exe,notepad.exe,7zfm.exe,winrar.exe,sandboxiedcomlaunch.exe,sandboxierpcss.exe,sandboxiecrypto.exe,start.exe
  3. ProcessGroup=,iexplore.exe,theworld.exe,maxthon.exe,thunder.exe,thunder5.exe,pinyinup.exe
  4. ProcessGroup=,chrome.exe,imeutil.exe,pinyinup.exe,sandboxiedcomlaunch.exe,sandboxierpcss.exe,start.exe
  5. ProcessGroup=,chrome.exe,pinyinup.exe
  6. ProcessGroup=,opera.exe,edown.exe,flashgot.exe,oget.exe,thunder.exe,thunder5.exe,imeutil.exe,pinyinup.exe,notepad.exe,7zfm.exe,winrar.exe,sandboxiedcomlaunch.exe,sandboxierpcss.exe,start.exe
  7. ProcessGroup=,opera.exe,thunder.exe,thunder5.exe,pinyinup.exe
  8. ProcessGroup=,firefox.exe,flashgot.exe,thunder.exe,thunder5.exe,imeutil.exe,pinyinup.exe,notepad.exe,7zfm.exe,winrar.exe,sandboxiedcomlaunch.exe,sandboxierpcss.exe,sandboxiecrypto.exe,start.exe
  9. ProcessGroup=,firefox.exe,thunder.exe,thunder5.exe,pinyinup.exe
  10. ProcessGroup=,k-meleon.exe,flashgot.exe,oget.exe,thunder.exe,thunder5.exe,imeutil.exe,pinyinup.exe,notepad.exe,7zfm.exe,winrar.exe,sandboxiedcomlaunch.exe,sandboxierpcss.exe,sandboxiecrypto.exe,start.exe
  11. ProcessGroup=,k-meleon.exe,thunder.exe,thunder5.exe,pinyinup.exe
  12. BlockDrivers=y
  13. BlockWinHooks=y
  14. BlockFakeInput=y
  15. ForceDisableAdminOnly=y
  16. EditAdminOnly=y
  17. FileRootPath=C:\Sandbox\%USER%\%SANDBOX%
  18. ForceDisableSeconds=60
  19. [DefaultBox]
  20. Enabled=y
  21. ConfigLevel=6
  22. Template=LingerPrograms
  23. Template=Firefox_Phishing_DirectAccess
  24. Template=AutoRecoverIgnore
  25. Template=Lingoes
  26. Template=Local_LingerPrograms
  27. Template=Local_AutoRecoverIgnore_Thunder
  28. BoxNameTitle=y
  29. BorderColor=#00FFFF,off
  30. RecoverFolder=F:\Downloads
  31. RecoverFolder=%Personal%
  32. RecoverFolder=%Favorites%
  33. RecoverFolder=%Desktop%
  34. AutoRecover=y
  35. [IE8]
  36. Enabled=y
  37. ConfigLevel=6
  38. Template=LingerPrograms
  39. Template=AutoRecoverIgnore
  40. Template=Lingoes
  41. Template=IExplore_Force
  42. Template=IExplore_Favorites_RecoverFolder
  43. Template=Maxthon2_Force
  44. Template=Maxthon2_Favorites_DirectAccess
  45. Template=Maxthon2_SharedAccount_DirectAccess
  46. Template=Local_IExplore
  47. Template=Local_Maxthon2
  48. Template=Local_TheWorld
  49. Template=Local_LingerPrograms
  50. Template=Local_AutoRecoverIgnore_Thunder
  51. Template=Local_Thunder_History
  52. Template=Local_ComodoProtected
  53. Template=Local_IEProtected
  54. Template=Local_SystemProtected
  55. BoxNameTitle=y
  56. BorderColor=#00FFFF,off
  57. RecoverFolder=F:\Downloads
  58. RecoverFolder=%Desktop%
  59. AutoRecover=n
  60. AutoDelete=y
  61. NeverDelete=n
  62. DeleteCommand=%SystemRoot%\System32\cmd.exe /c RMDIR /s /q "%SANDBOX%"
  63. LeaderProcess=iexplore.exe
  64. LeaderProcess=theworld.exe
  65. LeaderProcess=maxthon.exe
  66. CopyLimitKb=49152
  67. CopyLimitSilent=y
  68. NotifyInternetAccessDenied=n
  69. NotifyStartRunAccessDenied=n
  70. DropAdminRights=y
  71. OpenFilePath=iexplore.exe,F:\Downloads\Temp\
  72. OpenFilePath=theworld.exe,F:\Downloads\Temp\
  73. OpenFilePath=maxthon.exe,F:\Downloads\Temp\
  74. OpenFilePath=thunder5.exe,F:\Downloads\Temp\
  75. OpenFilePath=,%AppData%\SogouPY\
  76. ClosedFilePath=E:\重要文件\
  77. ClosedFilePath=E:\系统备份\
  78. ClosedFilePath=!,\Device\RawIp6
  79. ClosedFilePath=!,\Device\Udp6
  80. ClosedFilePath=!,\Device\Tcp6
  81. ClosedFilePath=!,\Device\Ip6
  82. ClosedFilePath=!,\Device\RawIp
  83. ClosedFilePath=!,\Device\Udp
  84. ClosedFilePath=!,\Device\Tcp
  85. ClosedFilePath=!,\Device\Ip
  86. ClosedFilePath=!,\Device\Afd*
  87. OpenIpcPath=,*\BaseNamedObjects*\mem_user_dict*
  88. ClosedIpcPath=!,*
  89. [Opera]
  90. Enabled=y
  91. ConfigLevel=6
  92. Template=LingerPrograms
  93. Template=Lingoes
  94. Template=AutoRecoverIgnore
  95. Template=Opera_Force
  96. Template=Opera_Bookmarks_DirectAccess
  97. Template=Opera_Profile_DirectAccess
  98. Template=Opera_Mail
  99. Template=Local_Opera
  100. Template=Local_LingerPrograms
  101. Template=Local_AutoRecoverIgnore_Thunder
  102. Template=Local_Thunder_History
  103. Template=Local_ComodoProtected
  104. Template=Local_SystemProtected
  105. BoxNameTitle=y
  106. BorderColor=#00FFFF,off
  107. RecoverFolder=F:\Downloads
  108. RecoverFolder=%Desktop%
  109. AutoRecover=n
  110. AutoDelete=y
  111. NeverDelete=n
  112. DeleteCommand=%SystemRoot%\System32\cmd.exe /c RMDIR /s /q "%SANDBOX%"
  113. LeaderProcess=opera.exe
  114. CopyLimitKb=49152
  115. CopyLimitSilent=y
  116. NotifyInternetAccessDenied=n
  117. NotifyStartRunAccessDenied=n
  118. DropAdminRights=y
  119. OpenFilePath=opera.exe,F:\Downloads\Temp\
  120. OpenFilePath=thunder5.exe,F:\Downloads\Temp\
  121. OpenFilePath=,%AppData%\SogouPY\
  122. ClosedFilePath=!,\Device\RawIp6
  123. ClosedFilePath=!,\Device\Udp6
  124. ClosedFilePath=!,\Device\Tcp6
  125. ClosedFilePath=!,\Device\Ip6
  126. ClosedFilePath=!,\Device\RawIp
  127. ClosedFilePath=!,\Device\Udp
  128. ClosedFilePath=!,\Device\Tcp
  129. ClosedFilePath=!,\Device\Ip
  130. ClosedFilePath=!,\Device\Afd*
  131. OpenIpcPath=,*\BaseNamedObjects*\mem_user_dict*
  132. ClosedIpcPath=!,*
  133. FileRootPath=C:\Sandbox\%USER%\%SANDBOX%
  134. [Google_Chrome]
  135. Enabled=y
  136. ConfigLevel=6
  137. Template=LingerPrograms
  138. Template=Lingoes
  139. Template=Chrome_Force
  140. Template=AutoRecoverIgnore
  141. Template=Local_Chrome
  142. Template=Local_LingerPrograms
  143. Template=Local_ComodoProtected
  144. Template=Local_SystemProtected
  145. BoxNameTitle=y
  146. BorderColor=#00FFFF,off
  147. RecoverFolder=F:\Downloads
  148. RecoverFolder=%Desktop%
  149. AutoRecover=n
  150. AutoDelete=y
  151. NeverDelete=n
  152. DeleteCommand=%SystemRoot%\System32\cmd.exe /c RMDIR /s /q "%SANDBOX%"
  153. LeaderProcess=chrome.exe
  154. CopyLimitKb=49152
  155. CopyLimitSilent=y
  156. NotifyInternetAccessDenied=n
  157. NotifyStartRunAccessDenied=n
  158. DropAdminRights=y
  159. OpenFilePath=chrome.exe,F:\Downloads\Temp\
  160. OpenFilePath=,%AppData%\SogouPY\
  161. ClosedFilePath=!,\Device\RawIp6
  162. ClosedFilePath=!,\Device\Udp6
  163. ClosedFilePath=!,\Device\Tcp6
  164. ClosedFilePath=!,\Device\Ip6
  165. ClosedFilePath=!,\Device\RawIp
  166. ClosedFilePath=!,\Device\Udp
  167. ClosedFilePath=!,\Device\Tcp
  168. ClosedFilePath=!,\Device\Ip
  169. ClosedFilePath=!,\Device\Afd*
  170. OpenIpcPath=,*\BaseNamedObjects*\mem_user_dict*
  171. ClosedIpcPath=!,*
  172. FileRootPath=C:\Sandbox\%USER%\%SANDBOX%
  173. [Firefox]
  174. Enabled=y
  175. ConfigLevel=6
  176. Template=LingerPrograms
  177. Template=Firefox_Phishing_DirectAccess
  178. Template=AutoRecoverIgnore
  179. Template=Lingoes
  180. Template=Firefox_Force
  181. Template=Firefox_Bookmarks_DirectAccess
  182. Template=Local_Firefox
  183. Template=Local_LingerPrograms
  184. Template=Local_Thunder_History
  185. Template=Local_AutoRecoverIgnore_Thunder
  186. Template=Local_ComodoProtected
  187. Template=Local_SystemProtected
  188. BoxNameTitle=y
  189. BorderColor=#00FFFF,off
  190. RecoverFolder=F:\Downloads
  191. RecoverFolder=%Desktop%
  192. AutoDelete=y
  193. NeverDelete=n
  194. DeleteCommand=%SystemRoot%\System32\cmd.exe /c RMDIR /s /q "%SANDBOX%"
  195. LeaderProcess=firefox.exe
  196. CopyLimitKb=49152
  197. CopyLimitSilent=y
  198. NotifyInternetAccessDenied=n
  199. NotifyStartRunAccessDenied=n
  200. DropAdminRights=y
  201. OpenFilePath=firefox.exe,F:\Downloads\Temp\
  202. OpenFilePath=thunder5.exe,F:\Downloads\Temp\
  203. OpenFilePath=,%AppData%\SogouPY\
  204. ClosedFilePath=!,\Device\RawIp6
  205. ClosedFilePath=!,\Device\Udp6
  206. ClosedFilePath=!,\Device\Tcp6
  207. ClosedFilePath=!,\Device\Ip6
  208. ClosedFilePath=!,\Device\RawIp
  209. ClosedFilePath=!,\Device\Udp
  210. ClosedFilePath=!,\Device\Tcp
  211. ClosedFilePath=!,\Device\Ip
  212. ClosedFilePath=!,\Device\Afd*
  213. OpenIpcPath=,*\BaseNamedObjects*\mem_user_dict*
  214. ClosedIpcPath=!,*
  215. [KMeleon]
  216. Enabled=y
  217. ConfigLevel=6
  218. Template=LingerPrograms
  219. Template=AutoRecoverIgnore
  220. Template=Lingoes
  221. Template=Local_KMeleon
  222. Template=Local_LingerPrograms
  223. Template=Local_Thunder_History
  224. Template=Local_AutoRecoverIgnore_Thunder
  225. Template=Local_ComodoProtected
  226. Template=Local_SystemProtected
  227. BoxNameTitle=y
  228. BorderColor=#00FFFF,off
  229. RecoverFolder=F:\Downloads
  230. RecoverFolder=%Desktop%
  231. AutoRecover=n
  232. AutoDelete=y
  233. NeverDelete=n
  234. DeleteCommand=%SystemRoot%\System32\cmd.exe /c RMDIR /s /q "%SANDBOX%"
  235. LeaderProcess=k-meleon.exe
  236. CopyLimitKb=49152
  237. CopyLimitSilent=y
  238. NotifyInternetAccessDenied=n
  239. NotifyStartRunAccessDenied=n
  240. DropAdminRights=y
  241. OpenFilePath=k-meleon.exe,F:\Downloads\Temp\
  242. OpenFilePath=thunder5.exe,F:\Downloads\Temp\
  243. OpenFilePath=,%AppData%\SogouPY\
  244. ClosedFilePath=!,\Device\RawIp6
  245. ClosedFilePath=!,\Device\Udp6
  246. ClosedFilePath=!,\Device\Tcp6
  247. ClosedFilePath=!,\Device\Ip6
  248. ClosedFilePath=!,\Device\RawIp
  249. ClosedFilePath=!,\Device\Udp
  250. ClosedFilePath=!,\Device\Tcp
  251. ClosedFilePath=!,\Device\Ip
  252. ClosedFilePath=!,\Device\Afd*
  253. OpenIpcPath=,*\BaseNamedObjects*\mem_user_dict*
  254. ClosedIpcPath=!,*
  255. [Redirect]
  256. Enabled=y
  257. ConfigLevel=6
  258. BoxNameTitle=y
  259. Template=LingerPrograms
  260. Template=Firefox_Phishing_DirectAccess
  261. Template=AutoRecoverIgnore
  262. Template=Lingoes
  263. Template=Local_Thunder_History
  264. Template=Local_AutoRecoverIgnore_Thunder
  265. Template=Local_LingerPrograms
  266. Template=Local_ComodoProtected
  267. BorderColor=#00FFFF,off
  268. AutoRecover=n
  269. RecoverFolder=F:\Downloads
  270. RecoverFolder=%Personal%
  271. RecoverFolder=%Favorites%
  272. RecoverFolder=%Desktop%
  273. AutoDelete=n
  274. NeverDelete=y
  275. DeleteCommand=%SystemRoot%\System32\cmd.exe /c RMDIR /s /q "%SANDBOX%"
  276. CopyLimitKb=49152
  277. CopyLimitSilent=n
  278. OpenFilePath=thunder5.exe,F:\Downloads\Temp\
  279. OpenPipePath=%AppData%\SogouPY\
  280. ClosedFilePath=C:\boot.ini
  281. ClosedFilePath=C:\bootfont.bin
  282. ClosedFilePath=C:\ntldr
  283. ClosedFilePath=C:\ntdetect.com
  284. ClosedFilePath=*.gho
  285. ReadFilePath=C:\Program Files\Avira\
  286. ClosedKeyPath=HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*
  287. ClosedKeyPath=HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run*
  288. OpenIpcPath=*\BaseNamedObjects*\mem_user_dict*
  289. FileRootPath=D:\Sandbox\%USER%\%SANDBOX%
  290. [USBDisk]
  291. Enabled=y
  292. ConfigLevel=6
  293. BoxNameTitle=y
  294. BorderColor=#00FFFF,off
  295. AutoDelete=y
  296. NeverDelete=n
  297. DeleteCommand=%SystemRoot%\System32\cmd.exe /c RMDIR /s /q "%SANDBOX%"
  298. ForceFolder=J:\
  299. ForceFolder=F:\Downloads\Temp
  300. CopyLimitKb=4096
  301. CopyLimitSilent=y
  302. NotifyInternetAccessDenied=n
  303. NotifyStartRunAccessDenied=n
  304. DropAdminRights=y
  305. ClosedFilePath=\Device\RawIp6
  306. ClosedFilePath=\Device\Udp6
  307. ClosedFilePath=\Device\Tcp6
  308. ClosedFilePath=\Device\Ip6
  309. ClosedFilePath=\Device\RawIp
  310. ClosedFilePath=\Device\Udp
  311. ClosedFilePath=\Device\Tcp
  312. ClosedFilePath=\Device\Ip
  313. ClosedFilePath=\Device\Afd*
  314. ClosedIpcPath=*
  315. [Virus]
  316. Enabled=y
  317. ConfigLevel=6
  318. Template=LingerPrograms
  319. Template=Firefox_Phishing_DirectAccess
  320. Template=AutoRecoverIgnore
  321. Template=Local_LingerPrograms
  322. Template=Local_ComodoProtected
  323. BoxNameTitle=y
  324. BorderColor=#0000FF
  325. ForceFolder=F:\leaktests
  326. ForceFolder=F:\virus
  327. CopyLimitKb=2048
  328. CopyLimitSilent=y
  329. DropAdminRights=y
  330. FileRootPath=F:\Sandbox\virus\
  331. [Template_Local_IExplore]
  332. Tmpl.Title=Template_Local_IExplore
  333. Tmpl.Class=Local
  334. OpenFilePath=iexplore.exe,%Favorites%\*.url
  335. OpenFilePath=iexplore.exe,%Favorites%\*.ico
  336. OpenFilePath=iexplore.exe,%Cookies%\*.txt
  337. [Template_Local_TheWorld]
  338. Tmpl.Title=Template_Local_TheWorld
  339. Tmpl.Class=Local
  340. ForceProcess=theworld.exe
  341. OpenFilePath=theworld.exe,%Favorites%\*.url
  342. OpenFilePath=theworld.exe,%Favorites%\*.ico
  343. OpenFilePath=theworld.exe,%Cookies%\*.txt
  344. OpenFilePath=theworld.exe,*\theworld*\theworld.ini
  345. OpenFilePath=theworld.exe,*\theworld*\form.ini
  346. OpenFilePath=theworld.exe,*\theworld*\passlist.dat
  347. OpenFilePath=theworld.exe,*\theworld*\theworld.ac
  348. OpenFilePath=theworld.exe,*\theworld*\theworld.xml
  349. OpenFilePath=theworld.exe,*\theworld*\twcache.ini
  350. OpenFilePath=theworld.exe,*\theworld*\imgcache\*.ico
  351. [Template_Local_Maxthon2]
  352. Tmpl.Title=Template_Local_Maxthon2
  353. Tmpl.Class=Local
  354. OpenFilePath=maxthon.exe,%Cookies%\*.txt
  355. [Template_Local_IEProtected]
  356. Tmpl.Title=Template_Local_IEProtected
  357. Tmpl.Class=Local
  358. ClosedFilePath=*\wshom.ocx
  359. ClosedFilePath=*\scrrun.dll
  360. ClosedFilePath=*\msado15.dll
  361. ClosedFilePath=*\msadco.dll
  362. [Template_Local_Chrome]
  363. Tmpl.Title=Template_Local_Chrome
  364. Tmpl.Class=Local
  365. OpenFilePath=chrome.exe,%Local AppData%\Google\Chrome\User Data\
  366. OpenFilePath=chrome.exe,%Local AppData%\Chromium\User Data\
  367. OpenFilePath=chrome.exe,D:\Program Files\Chrome\User Data\
  368. [Template_Local_Opera]
  369. Tmpl.Title=Template_Local_Opera
  370. Tmpl.Class=Local
  371. OpenFilePath=opera.exe,*\Opera\mail\
  372. OpenFilePath=opera.exe,*\Opera\Profile\icons\
  373. OpenFilePath=opera.exe,*\Opera\Profile\images\
  374. OpenFilePath=opera.exe,*\Opera\Profile\thumbnails\*.png
  375. OpenFilePath=opera.exe,*\Opera\Profile\cookies4.dat
  376. OpenFilePath=opera.exe,*\Opera\Profile\contacts.adr
  377. OpenFilePath=opera.exe,*\Opera\Profile\opera6.adr
  378. OpenFilePath=opera.exe,*\Opera\Profile\notes.adr
  379. OpenFilePath=opera.exe,*\Opera\Profile\global.dat
  380. OpenFilePath=opera.exe,*\Opera\Profile\download.dat
  381. OpenFilePath=opera.exe,*\Opera\Profile\wand.dat
  382. OpenFilePath=opera.exe,*\Opera\Profile\opera6.ini
  383. OpenFilePath=opera.exe,*\Opera\Profile\speeddial.ini
  384. OpenFilePath=opera.exe,*\Opera\Profile\urlfilter.ini
  385. OpenFilePath=opera.exe,*\Opera\Profile\typed_history.xml
  386. OpenFilePath=opera.exe,*\Opera\Profile\sessions\autosave.win
  387. [Template_Local_Firefox]
  388. Tmpl.Title=Template_Local_Firefox
  389. Tmpl.Class=Local
  390. OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*\prefs.js
  391. OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*\bookmarks*
  392. OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*\patterns*
  393. OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*\places*
  394. OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*\persdict.dat
  395. OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*\*.sqlite*
  396. [Template_Local_KMeleon]
  397. Tmpl.Title=Template_Local_KMeleon
  398. Tmpl.Class=Local
  399. ForceProcess=k-meleon.exe
  400. OpenFilePath=k-meleon.exe,*\Pref\bookmarks*
  401. OpenFilePath=k-meleon.exe,*\Profiles\*\prefs.js
  402. OpenFilePath=k-meleon.exe,*\Profiles\*\patterns*
  403. OpenFilePath=k-meleon.exe,*\Profiles\*\persdict.dat
  404. OpenFilePath=k-meleon.exe,*\Profiles\*\*.sqlite*
  405. OpenFilePath=k-meleon.exe,*\Profiles\*\Cache\*
  406. [Template_Local_LingerPrograms]
  407. Tmpl.Title=Template_LingerPrograms
  408. Tmpl.Class=Local
  409. LingerProcess=pinyinup.exe
  410. LingerProcess=imeutil.exe
  411. LingerProcess=ppsap.exe
  412. LingerProcess=sopadver.exe
  413. [Template_Local_AutoRecoverIgnore_Thunder]
  414. Tmpl.Title=Template_Local_AutoRecoverIgnore_Thunder
  415. Tmpl.Class=Local
  416. AutoRecoverIgnore=.td
  417. AutoRecoverIgnore=.td.cfg
  418. [Template_Local_Thunder_History]
  419. Tmpl.Title=Template_Local_Thunder_History
  420. Tmpl.Class=Local
  421. OpenFilePath=thunder5.exe,*\Profiles\history6.dat*
  422. [Template_Local_SystemProtected]
  423. Tmpl.Title=Template_Local_SystemProtected
  424. Tmpl.Class=Local
  425. ClosedFilePath=C:\boot.ini
  426. ClosedFilePath=C:\bootfont.bin
  427. ClosedFilePath=C:\ntldr
  428. ClosedFilePath=C:\ntdetect.com
  429. ClosedFilePath=*.bat
  430. ClosedFilePath=*.com
  431. ClosedFilePath=*.cmd
  432. ClosedFilePath=*.pif
  433. ClosedFilePath=*.vbs
  434. ClosedFilePath=*.scr
  435. ClosedFilePath=*.hta
  436. ClosedFilePath=*.gho
  437. ReadFilePath=C:\Program Files\Avira\
  438. ClosedKeyPath=HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*
  439. ClosedKeyPath=HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run*
  440. [Template_Local_ComodoProtected]
  441. Tmpl.Title=Template_Local_ComodoProtected
  442. Tmpl.Class=Local
  443. ClosedFilePath=C:\Program Files\COMODO\
  444. ClosedFilePath=C:\Documents and Settings\All Users\Application Data\comodo\
  445. ClosedFilePath=C:\WINDOWS\system32\drivers\cmdguard.sys
  446. ClosedFilePath=C:\WINDOWS\system32\drivers\cmdhlp.sys
  447. ClosedFilePath=C:\WINDOWS\system32\drivers\inspect.sys
  448. ReadFilePath=C:\WINDOWS\system32\guard32.dll
  449. ClosedKeyPath=HKEY_LOCAL_MACHINE\System\Comodo*
  450. ClosedKeyPath=HKEY_LOCAL_MACHINE\Software\Comodo*
  451. ClosedKeyPath=HKEY_CURRENT_USER\Software\Comodo*
  452. ClosedKeyPath=HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\COMODO Internet Security
复制代码





沙盘之路完成!
谢谢阅读!
希望大家能够找到一条适合自己的沙盘之路。







诱敌于沙盘之中,不战而屈人之兵,善之善者也!



电子书下载 (感谢hdpei制作)

地址1:http://www.91files.com/?E963SGQMCZOEL8ZSO1I8
地址2:http://www.brsbox.com/filebox/do ... 23ac219433d622eea65

MD5:FC03C5218AF528FEAFEB3DA1BCD9CA20









[ 本帖最后由 ubuntu 于 2009-6-2 10:49 编辑 ]

Sandboxie3.34.ini.zip

 

2.76 KB, 下载次数: 480

 

Sandboxie3.38.ini.zip

 

3.14 KB, 下载次数: 401

 

[ 本帖最后由 ubuntu 于 2009-6-2 10:49 编辑 ]

Sandboxie3.34.ini.zip

 

2.76 KB, 下载次数: 480

 

Sandboxie3.38.ini.zip

 

3.14 KB, 下载次数: 401

 

Sandboxie3.34安装程序.zip

 

454.29 KB, 下载次数: 159

 

文章转发到这里完成

PS:转发别人的一个评论和使用经验,仅供参考。

用 Sandboxie 己经多年了,早期我都是用来测试软件,後来发现有更多的用途:1. 建立多个不同的沙盘,安装不同的软件,如此,就算其中一个中毒,也不会影响到其它。特别是用在 IE, Chrome, Firefox等上网软件。2. 再来是个人最常用的方式---快速复原、便携:如1.中安装好後,回到 %Sandboxie%%user% 下把该沙盘整个压缩起来,这样下次就不用再安装了。另外,只要把 %Sandboxie% 整个移到别的位置〈透过 sandbox >> set container folder〉在系统重装时〈重装前要先把 c:WINDOWSSandboxie.ini 复制,重装後再拷回〉,这样就可再重用,不用从头。同理,将 %Sandboxie% 整个复制到相同系统不同桌机〈如桌机到笔记本,系统版本相同〉,也是可以像上面一样无痛转移。3. 可以透过快捷,设定 "C:Program FilesSandboxieStart.exe" /box:沙盘名 "%Sandboxie%%user%沙盘名…XXX.exe",这样就可快速开启沙盘中的软件。4. 可以透过 sandbox >> 沙盘名 >> sandboxie setting 进行细部设定:a. 在 Appearance 中设定视窗加框,用不同颜色区别不同沙盘。b. 在 Delete 中可以设定沙盘不可被删除,以免错杀沙盘。c. 在 Restricti*** >> Internet Access 设定哪些软件不可连网〈这在防止软件後门很有用〉d. 在 resource Access >> File Access 中可以设定软件可以存取的程度,如 >> Direct Access 或 full Access 都可以指定某软件可以直接存取哪些目录〈前者是已经装在沙盘中的程式无效,後者是完全有效〉,也就是不受沙盘保护〈说啥?不保护怎还叫用沙盘!?〉,这个功能最好用的地方在於像连网下载的文件,不用自己复制就直接存到指定的盘上。其他如Blocked Access〈指定软件不可存取的目录〉,Read-Only Access〈仅可读的目录〉,……都是可以自己设定的。上面是我较常用的,当然,还有好多功能可以慢慢玩……心得,虽然沙盘不能用在某些带驱动的软件,不能像 VM 一样强大,但它提供一个不用像影子系统一样要重启或是回复到特定时间,也不用像 VM 一样要额外大量的内存、盘空间,就能有大多数的灵巧、方便及安全性。

 

总结一下, 文章还没有时间具体看完, 但打算最近买一个个人版的 测试一下 看原理应该是非常有趣的。

 

 

转载于:https://www.cnblogs.com/kidshaoran/archive/2013/05/23/3095201.html

你可能感兴趣的:(knowladge_网站开发_Sandboxie沙盒)