实例图解——如何写条沙盘规则？

柯林

假设，计算机上有很多exe格式或者chm格式的电子书，全部在一个名为“文学”的目录下：

想要对它做条沙盘规则，将其自动入沙，规则写法如下：
双击毛豆托盘图标，点击“任务”，点击“沙盒任务”，点击“打开高级设置”，点击“自动沙盒”，在右面窗口里，点击最下面正中那个带∧字符号的按钮，弹出菜单上点“添加”，弹出的规则设置画面上，“目标”填上电子书所在的目录路径：

规则设置画面，点击“选项”，去掉日志记录（“当执行此操作时记录日志”的勾去掉，这样，运行电子书时，毛豆就不会弹个窗说该程序已经被隔离，你要不嫌烦，可以不去勾），将限制级别拉高一点（“设置限制等级”：“低权限级别”）：

最后，点击规则设置画面上的“确定”，一条规则就写好了。为了保持美观和一定的优先级，将这条规则拖到“阻止规则”的下面：

最后，点击“自动沙盒“设置画面上的“确定”按钮，就收工了（请注意，最后不要忘了点这个“确定”按钮，你的更改才会得以保存，否则就白忙了）。
效果如何呢？打开目录内的一个电子书运行下，它被自动入沙了：


编制沙盘规则，就是这么简单，一点都不复杂，效果却是杠杆的。照猫画虎，依样开工，想沙的就沙了吧。
注意两点：一般情况下，日志最好开着，以便查找原因；对于绝大数程序来说，默认的”部分限制“级别也就够了。

====================================================
补充一句：你也可以建立文件组，然后在沙盘或防火墙规则里直接引用这个文件组：

如上图所示的这种文件组（管制程序），可以在沙盘规则里选择阻止运行或虚拟化运行：

同样的，在防火墙规则里，也可以引用该组进行规定：

羽扇纶巾

目测柯大还是位老文青噢。顶贴

shenshaobo_0

知道啦。。。

mijel

我总是不能接受沙盘缓存在C盘，而不能自定义位置

勇者无敌

搞的我也想用毛豆了

缺缺

很实用，，，，不过有个问题一直困扰我，，，

举例*\Tencentdl.exe这个流氓进程 5.12直接丢被拦截文件组里就不用管了，8系列版本必须开了HIPS才能拦截不然没用，看来只能沙河阻止了

柯林

缺缺 发表于 2015-4-29 14:46
很实用，，，，不过有个问题一直困扰我，，，

举例*\Tencentdl.exe这个流氓进程 5.12直接丢被拦截文件 ...

你说这个，试试沙盘直接隔离如何？

我尝试了下，把*\QQExternal.exe，*\TXPlatform.exe，*\TXPFProxy.dll入沙，QQ登录没动静，只有把QQ也入沙才行，还没试过将*\TXPFProxy.dll加入数据保护或拦截文件效是怎样的

缺缺

柯林 发表于 2015-4-29 16:04
你说这个，试试沙盘直接隔离如何？

我尝试了下，把*\QQExternal.exe，*\TXPlatform.exe，*\TXPFProxy. ...

8的版本不启用HIPS，被拦截和数据保护好像都没效果，有点郁闷，5.12直接丢被拦截就当黑名单了，8这个有点不方便，一会回去试试沙盒阻止行不行，，，

柯林

缺缺 发表于 2015-4-29 19:38
8的版本不启用HIPS，被拦截和数据保护好像都没效果，有点郁闷，5.12直接丢被拦截就当黑名单了，8这个有点 ...

我测了下，不开HIPS，文件丢入被拦截，是没有效果的。
已测的是，列入保护数据的盘符或目录，对入沙程序有效，对沙外程序无效。

柯林

补充下，添加到数据保护目录里的文件，在不开HIPS的情形下，对入沙程序有效。

对数据安全要求高的，只有使用磁盘加密，其它的都不是真正解决。