[原创] OpenSandboxiePath——沙盘之路 沙盘

小贴士：如果本帖未能解决你的问题，请点此提问,热心卡饭将会帮助你解决各种计算机安全问题！

OpenSandboxiePath——沙盘之路

声明：本文属ubuntu原创，首发于卡饭HIPS版，转贴请保留作者和出处，严禁用于商业用途。



前言

红豆沙的沙
我用沙盘主要是防入口，防泄露
偶尔测试一下新软件，或者偶偶尔欺负一下病毒 :)
前面主要讲安全浏览+U盘，不是做绿色或者沙盘化软件
如果，你不感兴趣，最好略过不看，不想浪费你的时间
后面讲配置文件，还是最好看看，应该有点帮助。
如果，你连看都不想看，还想用沙盘
那好，我把配置文件给你拷贝一下
很简单，什么也不用管，直接用


完整的菜单、操作，已经有教程，我不会再讲一遍。
我是从实战出发，用实例来讲述对沙盘的控制，
主要是一个特定沙盘思路和想法是如何实现的，
顺带讲一下具体操作和菜单。

尽量让所有人(包括没有用过沙盘的)都有所收获，

希望看过以后，每个人都能找到适合自己的沙盘之路。




初遇

有没有缘分，第一眼很重要
关于Sandboxie，我能给你的第一印象就是下面两张图。
如果，你有一见钟情、相见恨晚的感觉，那么继续往下看。



Sandboxie 在一个被成为沙盘的隔离保护区运行您的程序(黄色方块)
沙盘中的程序不允许更改或危害您的计算机(倒沙，红色被清除)


一切都有个开始
沙盘也不例外


下载：http://www.sandboxie.com/SandboxieInstall.exe
注册：自己动手搜索
安装的版本目前是 3.34

中文化：
安装时选择中文
安装完成以后，托盘右键退出Sandboxie 控制
用下面文件替换安装目录里的文件
bbs.kafan.cn/thread-401800-1-3.html
重新启动Sandboxie 控制

备份配置文件：
C:\Windows\Sandboxie.ini 保存到一个安全的地方

安装完成会生成一个托盘图标和一个快捷方式"在沙盘中运行网页浏览器"
我们用这个快捷方式在沙盘中运行浏览器，假设系统默认浏览器是IE




邂逅

现在用这个快捷方式启动浏览器，如图：



因为iexplore.exe 在沙盘里运行，沙盘 DefaultBox 处于激活状态
[#]标志 表示程序处于沙盘的监控下

现在，按照平时的使用习惯，浏览常用网站，登陆论坛、填写表单。。。
一段时间以后，退出沙盘，用Sandboxie 控制 DefaultBox 删除保存内容(倒沙)

再次打开IE，发现输入过的网址、Cookies、历史、表单、密码，Internet临时文件，都没有被保存

这是Sandboxie一个实战运用的例子：隐私浏览
一旦退出浏览器，Sandboxie会清除所有上网痕迹，保护用户的隐私

每次，都手动倒沙是不是很累？

Sandboxie 提供了人性化的设置，自动倒沙，如图设置
沙盘设置 --> 删除调用 --> 勾选自动删除沙盘中保存的内容




=============================================================================================


在进行下一个实例前，先熟悉一下常用菜单

托盘右键菜单

最重要的是 终止所有程序和禁用强制运行程序，因为作用于所有沙盘
Sandboxie的注册版是可以建立多个沙盘
沙盘与真实系统隔离，各个沙盘之间也相互隔离




=============================================================================================


DefaultBox子菜单
具体到特定的沙盘，上半部分是运行相关，下半部分是沙盘内程序和内容相关




=============================================================================================


沙盘右键菜单

和上面类似，多出了沙盘设置、重命名沙盘、移除沙盘
最重要的是沙盘设置，几乎所有和沙盘相关的设置都在这里



另外，在初次使用沙盘以后，会看到很多提示消息
如果，看明白了，以后，不想再看到这个提示
勾选，以后不显示此消息
注：没有特别说明的话，所有程序都是在沙盘中运行。




重逢

上网下载文件，是很常见的。
假设下载目录，放在非系统盘，比如：F:\Downloads\ 或者 F:\下载\
这样以后重装、恢复系统，下载文件不会受到影响。
再次在沙盘里打开IE，输入：www.sandboxie.com
转到Download页面，下载Sandboxie 至 F:\Downloads\
http://www.sandboxie.com/SandboxieInstall.exe
下载完成，退出IE

现在打开F:\Downloads\，没有SandboxieInstall.exe这个文件，这就有麻烦了
自动倒沙将泥沙、珠玉统统倒掉

珠玉还是要的，再次用IE下载文件SandboxieInstall.exe
沙盘 DefaultBox，右键 浏览保存内容
在这个目录：C:\Sandbox\用户名\DefaultBox\drive\F\Downloads\
将SandboxieInstall.exe 复制到真实的系统 F:\Downloads\

可以看到，沙盘对文件创建进行重定向，沙盘里的文件操作不会影响真实系统
F:\Downloads\ --> C:\Sandbox\用户名\DefaultBox\drive\F\Downloads\
这样保护了系统安全，但是给下载带来了不便
中间，加入了一个恢复文件的步骤


为了方便用户，沙盘加入了一个精巧设计，快速恢复、立即恢复

在沙盘中运行IE，这次将下载文件保存到桌面上
Sandboxie在下载完成以后，会提示，只要选择恢复到相同文件夹
下载文件被恢复到真实系统，同时可以使用自动倒沙功能



如果，不想看到立即恢复的提示
勾选 在所有沙盘程序停止前不再显示此提示
这样，沙盘只会在结束所有沙盘程序以后，提示恢复文件，不会那么吵

使用或不使用立即恢复，在于自己的选择。


=============================================================================================


沙盘设置 --> 恢复 --> 快速恢复
快速恢复，将沙盘内的文件恢复到真实系统：
删除沙盘之前，或当您手动调用快速恢复功能时，将检查以下文件夹中保存的沙盘中的内容。
如果找到可恢复文件，您可以轻松地将它们恢复到沙盘环境以外。

默认的快速恢复目录：
我的文档
收藏夹
桌面
添加文件夹 加入下载目录：F:\Downloads




=============================================================================================


沙盘设置 --> 恢复 --> 立即恢复
立即恢复，是对快速恢复的增强，可以在文件创建后自动调用恢复功能




快速恢复可以通过托盘菜单和Sandboxie 控制里右键菜单，恢复文件和添加文件夹


=============================================================================================


还有一种方法恢复文件和添加快速恢复目录
Sandboxie 控制 --> 查看 --> 文件和文件夹 --> 快速恢复文件夹
右键选择文件，恢复到相同文件夹

Sandboxie 控制 --> 查看 --> 文件和文件夹 --> 所有分区和文件夹
分区 F Downloads，右键 将文件夹加入快速恢复
SandboxieInstall.exe，右键，恢复到相同文件夹






以上，通过快速恢复，解决了隐私浏览保护下的，文件下载问题。
用沙盘术语说：快速恢复和自动倒沙




Sandboxie COM 服务程序

沙盘中的程序正常运行需要访问一些重要的系统服务
不过，如果直接允许访问系统服务的话，程序会漏出沙盘，不能起到隔离的作用
所以，沙盘为了程序安全的访问系统服务，提供了沙盘化的系统服务实例
简单说，就是在沙盘里模拟系统服务
沙盘中的程序重定向访问沙盘化的服务程序，使程序正常运行，而不影响安全性

以下是沙盘化服务程序：

RpcSs - Remote Procedure Call (RPC) - SandboxieRpcSs.exe

DcomLaunch - DCOM Server Process Launcher - SandboxieDcomLaunch.exe

CryptSvc - Cryptographic Service - SandboxieCrypto.exe

BITS - Background Intelligent Transfer Service - SandboxieBITS.exe

Wuauserv - Automatic Updates - SandboxieWUAU.exe

EventSystem - COM+ Event System - SandboxieEventSys.exe

MSIServer - Windows Installer - msiexec.exe




安全浏览
Sandboxie 可以将浏览器(包括浏览器启动的子程序，下载的文件)限制在沙盘里，
从而保护真实系统的安全。
如果，有虚拟机的话，可以在沙盘里运行IE，再上一些有毒网站
或者，在沙盘里直接运行病毒程序
自动倒沙以后，系统不会受到影响




沙盘化绿色程序、测试新软件
沙盘还有一方面用处，测试新软件或不熟悉的程序；
将某些程序安装在一个特定设置的沙盘里，形成一个绿色程序
在隔离的环境下运行的程序。




插曲
在进行下面的内容前，休息一下！

英雄要问出处

在用之前，总要介绍一下来历

名称：Sandboxie (沙盘、沙箱、沙盒、Sbie、SB这个缩写囧...)

作者：Ronen Tzur （Tzuk） 非常勤奋、值得尊敬

国家：以色列 最近在打仗，祈祷和平

类别：Sandbox、沙盘、HIPS

特点：很黄不暴力，提示很少

革命履历：2004年参加革命工作，加入伟大的XXX
沙盘名动江湖的绝技是双开游戏
沙盘露脸的方式是和某浏览器捆绑
少数人将沙盘当作安全软件


开着沙盘去各类网站，尤其是毒网、马网、X网

只要倒沙，这个世界清静了，一丝不染

U盘病毒免疫，再牛的U盘病毒，也无法运行

稍微设置一下，上网收敛一些，保证不会被盗号

不想让人看的东东，保证不会被偷偷传到网上
硬盘拿去修理，那是另外一回事

沙盘化软件，保证系统干净
我将沙盘作为红豆沙的一部分
沙盘作先锋，防御国门
毛豆据中央，掌控全局
红伞为利剑，斩妖伏魔

只要简单设置，对一般人足够安全
基本上，入口防御都交给沙盘了
其它，两个软件，大部分时候很悠闲


注：你可以通过右键 在沙盘中运行 将程序置于沙盘的监控中

[ 本帖最后由 ubuntu 于 2009-4-8 04:59 编辑 ] 卡饭常用词汇列表

(如果你喜欢ubuntu(汉芯首席打磨师)的这个帖子，请登陆参与交流！

入口防御 —— 打造安全的浏览器

浏览器使用IE(6/7/8)，主要是不需要下载、安装。
其实，我最不熟悉的是IE内核的浏览器，所以嘛讲错了，请多多谅解。
本来，是想讲Opera的，因为稍微知道一些，但是还要下载安装程序，放弃。

Sandboxie 最近一年，尤其是这几个月的更新，
使我认为，Sandboxie 是普通用户现阶段沙盘软件的首选！

几乎不需要设置；
中文化支持；
非常容易注册，使用全功能；
强制运行的增强，可以完全保护U盘；
Sandboxie Control的增强，几乎可以用图形界面完成所有的设置；
DropRights 进一步提高安全性。


入口防御包括浏览器和U盘
其中，浏览器安全是最重要的，
对于我来说，保护浏览器可以防御80%-90%的威胁，甚至更高


下面，我以IE7为例，介绍一下自己在这方面的想法

为了给IE一个安全隔离的环境，需要单独的一个沙盘

Sandboxie 控制 --> 沙盘 -->创建新沙盘 --> IE8、IE7或IE6




=============================================================================================

接下来，沙盘设置 - IE7

外观 --> 在窗口标题中显示沙盘名
出现多沙盘以后，通过沙盘名可以确定IE所在的沙盘




=============================================================================================


快速恢复
添加自己的下载文件夹，例如：F:\Downloads
默认的我的文档、收藏夹、桌面目录，可以根据习惯，保留或删除




=============================================================================================


立即恢复 是否启用，看个人习惯




=============================================================================================


删除 --> 调用 --> 自动删除沙盘中保存的内容




=============================================================================================


程序启动 --> 强制运行程序 --> 添加程序名 --> iexplore.exe
如果IE在沙盘外启动，将强制其在沙盘中运行




=============================================================================================


程序停止 --> 主要程序 --> 添加程序名 --> iexplore.exe

IE是沙盘的主程序，结束IE就会结束沙盘中的所有其它程序




=============================================================================================


限制 --> Internet访问 --> 添加程序名 --> iexplore.exe

IE是沙盘中唯一可以访问网络的程序
极大的提高了反泄露能力，保护隐私




=============================================================================================


限制 --> 启动/运行访问 --> 添加程序名 -->

iexplore.exe
IE是沙盘中唯一可以运行的程序
任何恶意软件无法运行，极大提高系统安全和反泄露能力




=============================================================================================


限制 --> 程序降权 --> 从管理员与超级用户组降权
削去管理员安全特权，还是提高安全性




=============================================================================================


资源访问 --> 文件访问 --> 阻止访问 --> 添加自己的重要、私密文件、目录
限制了所有访问，包括读取，保护个人隐私




经过上面的设置，IE已经有很高的安全性，并且满足日常使用的要求
可以用来访问需要很高安全性要求的网站




下面这些设置会牺牲一些安全性，换取更大的易用性，用于平时上网浏览
你可以新建一个沙盘使用上面的设置，或者直接修改原来的沙盘


如果经常向收藏夹添加网址，建议作如下修改：
应用程序 --> 网页浏览器 --> 允许直接访问 IE 收藏夹


如果要将 IE自动保存的密码、搜索历史、自动填写表单 保存到真实系统(个人不推荐)
应用程序 --> 网页浏览器 --> 允许完全访问受保护的存储和自动完成记录




如果经常下载文件，建议建立一个下载临时目录比如，F:\Downloads\Temp，加入直接访问
临时目录下的文件，确定没有病毒之后，再用资源管理器移动到对应的分类目录，安装程序、文档、图片
、电影。。。，没有确认的继续留在临时目录里，重点监控。

平时上网可能会用IE调用很多程序，比如下载程序(迅雷、快车...)，输入法程序(搜狗...)，解压软件
(winrar、7-zip)，记事本。。。, 可能还需要访问Internet


需要修改以下设置，根据自身情况添加：


限制 --> Internet访问 --> 添加程序名/选择文件 -->

thunder5.exe、pinyinup.exe




=============================================================================================


限制 --> 启动/运行访问 --> 添加程序名 -->

thunder.exe,thunder5.exe,imeutil.exe,pinyinup.exe,notepad.exe,winrar.exe




=============================================================================================


保存对输入法设置的更改
资源访问 --> 文件访问 --> 直接访问 --> 编辑/添加 -->

%AppData%\SogouPY\




=============================================================================================


对下载临时目录进行限制，将下载目录加入强制运行
因为下载临时目录里的程序是不安全的，安全的已经被移动到其它目录
为了防止被病毒利用或者自己手痒点击，强制沙盘运行

程序启动 --> 强制运行文件夹



下载临时目录，可以仿照我对IE的设置单独建立一个沙盘，这里不再讲。
经常下载软件的话，下载工具也可以独立建立一个沙盘


浏览器安全，暂时讲完了
下面是IE7 沙盘的配置文件
可以复制到 C:\Windows\Sandboxie.ini里，使用、参考、学习
有些阻止访问文件规则，参照spbic 的EQS网马规则，感谢！



IE7 安全浏览 配置文件

1. [GlobalSettings]
   
2. ProcessGroup=<StartRunAccess_IE7>,iexplore.exe.exe,sandboxiedcomlaunch.exe,sandboxierpcss.exe,sandboxiecrypto.exe,start.exe
   
3. ProcessGroup=<InternetAccess_IE7>,iexplore.exe
   
4. 
   
5. [IE7]
   
6. Enabled=y
   
7. ConfigLevel=4
   
8. BoxNameTitle=y
   
9. BorderColor=#00FFFF,off
   
10. RecoverFolder=F:\Downloads
    
11. RecoverFolder=%Favorites%
    
12. RecoverFolder=%Desktop%
    
13. AutoRecover=n
    
14. AutoDelete=y
    
15. NeverDelete=n
    
16. DeleteCommand=%SystemRoot%\System32\cmd.exe /c RMDIR /s /q "%SANDBOX%"
    
17. ForceProcess=iexplore.exe
    
18. LeaderProcess=iexplore.exe
    
19. CopyLimitKb=49152
    
20. CopyLimitSilent=y
    
21. NotifyInternetAccessDenied=n
    
22. NotifyStartRunAccessDenied=n
    
23. DropAdminRights=y
    
24. ClosedFilePath=!<InternetAccess_IE7>,\Device\RawIp6
    
25. ClosedFilePath=!<InternetAccess_IE7>,\Device\Udp6
    
26. ClosedFilePath=!<InternetAccess_IE7>,\Device\Tcp6
    
27. ClosedFilePath=!<InternetAccess_IE7>,\Device\Ip6
    
28. ClosedFilePath=!<InternetAccess_IE7>,\Device\RawIp
    
29. ClosedFilePath=!<InternetAccess_IE7>,\Device\Udp
    
30. ClosedFilePath=!<InternetAccess_IE7>,\Device\Tcp
    
31. ClosedFilePath=!<InternetAccess_IE7>,\Device\Ip
    
32. ClosedFilePath=!<InternetAccess_IE7>,\Device\Afd*
    
33. ClosedFilePath=E:\重要文件\
    
34. ClosedFilePath=E:\系统备份\
    
35. ClosedFilePath=*.bat
    
36. ClosedFilePath=*.com
    
37. ClosedFilePath=*.cmd
    
38. ClosedFilePath=*.pif
    
39. ClosedFilePath=*.vbs
    
40. ClosedFilePath=*.scr
    
41. ClosedFilePath=*.hta
    
42. ClosedFilePath=*.gho
    
43. ClosedFilePath=*\wshom.ocx
    
44. ClosedFilePath=*\scrrun.dll
    
45. ClosedFilePath=*\msado15.dll
    
46. ClosedFilePath=*\msadco.dll
    
47. ClosedIpcPath=!<StartRunAccess_IE7>,*

复制代码

=============================================================================================


IE7 普通浏览

1. [GlobalSettings]
   
2. ProcessGroup=<StartRunAccess_IE7>,iexplore.exe,thunder.exe,thunder5.exe,imeutil.exe,pinyinup.exe,notepad.exe,winrar.exe,,sandboxiedcomlaunch.exe,sandboxierpcss.exe,sandboxiecrypto.exe,start.exe
   
3. ProcessGroup=<InternetAccess_IE7>,iexplore.exe,thunder5.exe,pinyinup.exe
   
4. 
   
5. [IE7]
   
6. Enabled=y
   
7. ConfigLevel=4
   
8. BoxNameTitle=y
   
9. BorderColor=#00FFFF,off
   
10. RecoverFolder=F:\Downloads
    
11. RecoverFolder=%Favorites%
    
12. RecoverFolder=%Desktop%
    
13. AutoRecover=n
    
14. AutoRecoverIgnore=.td.cfg
    
15. AutoRecoverIgnore=.td
    
16. AutoRecoverIgnore=.jc!
    
17. AutoRecoverIgnore=.part
    
18. AutoDelete=y
    
19. NeverDelete=n
    
20. DeleteCommand=%SystemRoot%\System32\cmd.exe /c RMDIR /s /q "%SANDBOX%"
    
21. ForceFolder=F:\Downloads\Temp
    
22. ForceProcess=iexplore.exe
    
23. LingerProcess=pinyinup.exe
    
24. LingerProcess=imeutil.exe
    
25. LeaderProcess=iexplore.exe
    
26. CopyLimitKb=49152
    
27. CopyLimitSilent=y
    
28. NotifyInternetAccessDenied=n
    
29. NotifyStartRunAccessDenied=n
    
30. DropAdminRights=y
    
31. OpenFilePath=iexplore.exe,%Favorites%\*.url
    
32. OpenFilePath=iexplore.exe,%Favorites%\*.ico
    
33. OpenFilePath=iexplore.exe,F:\Downloads\Temp\
    
34. OpenFilePath=thunder5.exe,F:\Downloads\Temp\
    
35. OpenFilePath=thunder5.exe,*\Profiles\history6.dat*
    
36. OpenFilePath=<StartRunAccess_IE7>,%AppData%\SogouPY\
    
37. ClosedFilePath=!<InternetAccess_IE7>,\Device\RawIp6
    
38. ClosedFilePath=!<InternetAccess_IE7>,\Device\Udp6
    
39. ClosedFilePath=!<InternetAccess_IE7>,\Device\Tcp6
    
40. ClosedFilePath=!<InternetAccess_IE7>,\Device\Ip6
    
41. ClosedFilePath=!<InternetAccess_IE7>,\Device\RawIp
    
42. ClosedFilePath=!<InternetAccess_IE7>,\Device\Udp
    
43. ClosedFilePath=!<InternetAccess_IE7>,\Device\Tcp
    
44. ClosedFilePath=!<InternetAccess_IE7>,\Device\Ip
    
45. ClosedFilePath=!<InternetAccess_IE7>,\Device\Afd*
    
46. ClosedFilePath=E:\重要文件\
    
47. ClosedFilePath=E:\系统备份\
    
48. ClosedFilePath=*.bat
    
49. ClosedFilePath=*.com
    
50. ClosedFilePath=*.cmd
    
51. ClosedFilePath=*.pif
    
52. ClosedFilePath=*.vbs
    
53. ClosedFilePath=*.scr
    
54. ClosedFilePath=*.hta
    
55. ClosedFilePath=*.gho
    
56. ClosedFilePath=*\wshom.ocx
    
57. ClosedFilePath=*\scrrun.dll
    
58. ClosedFilePath=*\msado15.dll
    
59. ClosedFilePath=*\msadco.dll
    
60. OpenIpcPath=,*\BaseNamedObjects*\mem_user_dict*
    
61. ClosedIpcPath=!<StartRunAccess_IE7>,*

复制代码

休息时间

其实对于隔离程序访问网络进行限制，在GeSWall也可以看到
将Network设置为 Confidential
这样任何隔离程序访问网络，必须添加程序规则

GeSWall 2.8.3 还可以限制信任程序访问网络
将Network设置为 Restricted for Trusted
这样隔离程序和信任程序访问网络都必须添加程序规则

[ 本帖最后由 ubuntu 于 2009-4-8 05:10 编辑 ]

入口防御 ——U盘防御

以U盘为代表的移动存储设备，是病毒利用AutoRun来感染系统的入口

沙盘完全可以防御任何来自U盘的威胁

用我的沙盘规则去防御U盘病毒，需要符合以下要求：
1. 不需要或禁止在U盘运行任何程序；
2. 不在资源管理器中双击直接编辑U盘上的文档
3. 我要防的就是自动运行和用户不慎点击运行U盘病毒
至于编辑文档的安全，杀软完全可以搞定；不行的话，换杀软


Sandboxie 控制 --> 沙盘 -->创建新沙盘 --> USBDisk




=============================================================================================


沙盘设置 - USBDisk

程序启动 --> 强制运行文件夹 --> 添加文件夹 U盘，例设 J:\
BT点的话，可以将除硬盘和光驱外所有的盘符加进去：A:\、B:\、J:\ —— Z:\




=============================================================================================


限制 --> Internet访问 --> 拦截所有程序，没有程序可访问Internet




=============================================================================================


限制 --> 启动/运行访问 --> (无)，没有程序可以启动、运行




=============================================================================================


限制 --> 程序降权 --> 从管理员与超级用户组降权




=============================================================================================


资源访问 --> IPC访问 --> 阻止访问 IPC --> 添加 *   应用到所有程序




=============================================================================================


以上是主要设置
下面是一些枝节，可选设置

外观 --> 在窗口标题中显示沙盘名




=============================================================================================


恢复 --> 快速恢复 --> 清空




=============================================================================================


恢复 --> 立即恢复 --> 不启用




=============================================================================================


删除 --> 调用 --> 自动删除沙盘中保存的内容




=============================================================================================


程序停止 --> 驻留程序 --> 清空




=============================================================================================


文件迁移 改小点吧 4096KB




=============================================================================================


USBDisk 配置文件

1. [USBDisk]
   
2. Enabled=y
   
3. ConfigLevel=4
   
4. BoxNameTitle=y
   
5. BorderColor=#00FFFF,off
   
6. AutoDelete=y
   
7. NeverDelete=n
   
8. DeleteCommand=%SystemRoot%\System32\cmd.exe /c RMDIR /s /q "%SANDBOX%"
   
9. ForceFolder=J:\
   
10. CopyLimitKb=4096
    
11. CopyLimitSilent=y
    
12. NotifyInternetAccessDenied=n
    
13. NotifyStartRunAccessDenied=n
    
14. DropAdminRights=y
    
15. ClosedFilePath=\Device\RawIp6
    
16. ClosedFilePath=\Device\Udp6
    
17. ClosedFilePath=\Device\Tcp6
    
18. ClosedFilePath=\Device\Ip6
    
19. ClosedFilePath=\Device\RawIp
    
20. ClosedFilePath=\Device\Udp
    
21. ClosedFilePath=\Device\Tcp
    
22. ClosedFilePath=\Device\Ip
    
23. ClosedFilePath=\Device\Afd*
    
24. ClosedIpcPath=*

复制代码

面向初、中级入口防御到此结束
下面是沙盘设置和Sandboxie.ini配置文件，属于高级部分

注意：导入设置时，注意按照自己的情况调整U盘和下载目录。

[ 本帖最后由 ubuntu 于 2009-3-1 03:10 编辑 ]

沙盘尽在掌握 ——沙盘设置和Sandboxie.ini

设置沙盘可以通过Sandboxie 控制 沙盘设置和 编辑Sandboxie.ini两种方式实现
一般用户推荐用沙盘设置的方式，关于Sandboxie.ini可以跳过不看，或者稍微了解一下

Sandbox Settings和Sandboxie.ini 是设置Sandboxie的两种方式。

Sandboxie.ini 是Sandboxie的配置文件，通过编辑Sandboxie.ini可以控制沙盘中程序的行为
一个自定义的Sandboxie.ini可以提供更高的安全保护。
Sandbox Settings是Sandboxie.ini的图形前端，最近更新的版本强化了Sandbox Settings
基本上可以完成所有的Sandboxie.ini设置。
实际上，Sandbox Settings最终还是通过修改Sandboxie.ini来完成设置工作。

Sandbox Settings 图形界面，老少皆宜，Sandboxie.ini 适合老手。

要完全控制Sandboxie，Sandboxie.ini是最直接有效的。

下面就要讲Sandboxie.ini，为了便于理解，我用Sandboxie Control 进行对照。
拆解Sandbox Settings每个设置与Sandboxie.ini之间的对应关系。


Sandboxie.ini保存位置

Sandboxie.ini 搜索顺序：1. Windows目录，C:\Windows\Sandboxie.ini ,这是安装以后生成的
2. Sandboxie的安装目录 C:\Program Files\Sandboxie\Sandboxie.ini
如果在1搜索到，读取设置，位置2就被忽略了。
如果将Sandboxie.ini剪切到位置2，手动重新载入设置，以后配置文件就保存到Sandboxie的安装目录。

老手建议使用位置2

注：如果是通过编辑配置文件来修改Sandboxie.ini，保存设置，退出编辑器以后，会自动调用重新载入配置；
如果是覆盖原来的Sandboxie.ini配置文件，需要手动重新载入配置
新的配置文件对沙盘中已经运行的程序无效，必须退出程序，重新运行，应用新配置。
修改Sandboxie.ini之后，最好终止所有沙盘程序，再重新启动。


我现在打开安装以后的Sandboxie.ini，然后通过不断加入新的设置项来解读Sandboxie的设置。
大部分是我自己的设置，某些例子是取自官网帮助。

默认的设置文件大致如下：

1. [GlobalSettings]
   
2. 
   
3. [DefaultBox]
   
4. 
   
5. Enabled=y
   
6. ConfigLevel=4
   
7. AutoRecover=y
   
8. AutoRecoverIgnore=.jc!
   
9. AutoRecoverIgnore=.part
   
10. RecoverFolder=%Personal%
    
11. RecoverFolder=%Favorites%
    
12. RecoverFolder=%Desktop%
    
13. LingerProcess=syncor.exe
    
14. LingerProcess=jusched.exe
    
15. LingerProcess=acrord32.exe
    
16. 
    
17. [UserSettings_125202A4]
    
18. SbieCtrl_UserName=username
    
19. SbieCtrl_ShowWelcome=N
    
20. SbieCtrl_ReSyncContextMenu=N
    
21. SbieCtrl_NextUpdateCheck=1231812532
    
22. SbieCtrl_UpdateCheckNotify=Y
    
23. SbieCtrl_BoxExpandedView_DefaultBox=Y

复制代码

Sandboxie.ini 的文件结构

[GlobalSettings]
全局设置
这里的设置会影响所有的Sandbox、所有用户
默认这里是空的

[DefaultBox]
沙盘 DefaultBox的配置信息，只能作用于这个沙盘。
注：沙盘名由字母和数字组成，最大长度32个字符。

[UserSettings_125202A4]
用户的个人配置，对安全没有影响。主要是Sandboxie 控制里的用户、外观、升级、和Shell集成、是否随机启动
不做讲解。以后在配置文件里从略。


基本语法

在Sandboxie中程序名是文件名，不包括完整路径

iexplore.exe - 正确
C:\Program Files\Internet Explorer\iexplore.exe - 错误

程序和操作对象之间用逗号 , 分开

! 代表除...之外， 逻辑非

OpenFilePath=iexplore.exe,%Favorites%
ClosedFilePath=!iexplore.exe,%Favorites%

OpenFilePath=iexplore.exe,%Favorites%
允许IE直接访问收藏夹目录
%Favorites% 表示收藏夹，环境变量

ClosedFilePath=!iexplore.exe,%Favorites%
阻止IE以外的其它程序直接访问收藏夹

组合在一起，就是只允许IE直接访问收藏夹
阻止任何其它程序访问收藏夹，包括读取



[DefaultBox]
OpenFilePath=C:\Downloads\
OpenFilePath=*.eml
OpenFilePath=iexplore.exe,%Favorites%
OpenFilePath=msimn.exe,*.eml

OpenFilePath=C:\Downloads\
前面没有特定程序，表示所有程序
C:\Downloads\   注意一定要加最后的反斜杠，Sandboxie在解释时会自动转换为C:\Downloads\*
自动加入*通配符，表示C:\Downloads 目录下和所有子目录下的文件

OpenFilePath=*.eml
表示扩展名为eml的所有文件

OpenFilePath=iexplore.exe,%Favorites%
允许IE直接访问收藏夹目录
%Favorites% 表示收藏夹，环境变量

OpenFilePath=msimn.exe,*.eml
允许Outlook 直接访问任何 eml文件




沙盘设置拆解

为了便于讲解，不影响DefaultBox，也为了安全的需要，我们创建一个新沙盘，取名Firefox。
前面已经讲过IE了，现在换一个，Firefox 3.xx。

再看一个配置文件：

1. [Firefox]
   
2. 
   
3. Enabled=y
   
4. ConfigLevel=4
   
5. AutoRecover=y
   
6. AutoRecoverIgnore=.jc!
   
7. AutoRecoverIgnore=.part
   
8. RecoverFolder=%Personal%
   
9. RecoverFolder=%Favorites%
   
10. RecoverFolder=%Desktop%
    
11. LingerProcess=syncor.exe
    
12. LingerProcess=jusched.exe
    
13. LingerProcess=acrord32.exe

复制代码

[Firefox]
代表沙盘Firefox

Enabled=y
表示允许在这个沙盘运行程序
Enabled=n
表示禁止在这个沙盘运行程序

ConfigLevel=4
ConfigLevel 这个设置在3以后的版本已经废弃了，不用管它，保持默认。



打开沙盘设置 - Firefox，由上至下

外观 Appearance

BoxNameTitle=-
不在标题栏显示沙盘标志
BoxNameTitle=y
在标题栏显示沙盘名
BoxNameTitle=n
在标题栏不显示沙盘名

环绕边框
BorderColor=#00FFFF
显示一个黄色的环绕边框
BorderColor=#00FFFF,off
不显示环绕边框

3.34版，颜色使用的16进制HTML-RGB格式，从左至右依次是蓝、绿、红
貌似是bug，正常顺序是红、绿、蓝

很特殊，边框颜色的修改是即时生效的。




=============================================================================================


恢复 Recover

RecoverFolder=%Personal%
RecoverFolder=%Favorites%
RecoverFolder=%Desktop%
快速恢复目录
%Personal% 我的文档目录
%Favorites% 收藏夹目录
%Desktop% 桌面




AutoRecover=y
表示启用立即恢复
AutoRecover=n
表示禁用立即恢复

AutoRecoverIgnore=.jc!
AutoRecoverIgnore=.part
表示立即恢复功能排除扩展名为.jc!、.part的文件




=============================================================================================


删除 Delete

AutoDelete=y
NeverDelete=n
当沙盘里没有程序运行，自动删除沙盘里的内容
如果沙盘中存在可恢复文件，在删除前会自动调用快速恢复

AutoDelete=n
NeverDelete=y
禁止移除沙盘或删除沙盘里的内容




=============================================================================================


DeleteCommand=%SystemRoot%\System32\cmd.exe /c RMDIR /s /q "%SANDBOX%"
手动或自动删除沙盘文件所调用的系统命令 RMDIR
如果留空，默认系统命令是 RMDIR (删除目录)
%SANDBOX%" 表示沙盘目录
SDelete 和 Eraserl 是需要下载安装的第三方安全删除文件工具




=============================================================================================


程序启动 Program Start
设置强制在沙盘里运行的程序


强制运行文件夹 Forced Folders
强制运行文件夹，目录下的所有程序，一旦在沙盘外启动，都会被强行拖进沙盘运行
如果其已在其它沙盘里运行，则不适用此项
如果是非可执行文件，那么和它关联的程序将被拖进沙盘
例如，强制运行目录，双击一个txt文件，记事本就会进入沙盘

我们可以将U盘(假设是：J:\)加入强制运行目录，这样无论是打开U盘文件，还是运行U盘程序
都是在沙盘中，不会影响真实系统，这样可以防U盘病毒，保证系统安全
ForceFolder=J:\

Forced Folders 优先级高于 Forced Programs




=============================================================================================


强制运行程序 Forced Programs
强制运行程序，一旦程序在沙盘外启动，就会被强制拖入沙盘里运行
如果其已在其它沙盘里运行，则不适用此项
通常，我们会将浏览器等病毒入口程序加入到Forced Programs

注意程序名使用的是文件名，而不是完整路径
例如 IE
正确：iexplore.exe
错误：C:\Program Files\Internet Explorer\iexplore.exe
ForceProcess=iexplore.exe

例如 Firefox
正确：firefox.exe
错误：C:\Program Files\Mozilla Firefox\firefox.exe
ForceProcess=firefox.exe

Forced Programs 优先级低于 Forced Folders




=============================================================================================


程序停止 Program Stop
设置沙盘自动终止的驻留程序

驻留程序 Lingering Programs
沙盘里的程序启动一个新程序(子程序)，新程序会在相同沙盘里运行
当主程序退出以后，子程序不一定会自动退出
比如：用IE去查看一个PDF文件，Adobe Reander(acrord32.exe)在IE结束以后，还会继续存在，不自动退出。
用搜狗拼音时，imeutil.exe、pinyinup.exe，也不会自动退出
我们将pinyinup.exe 加入 Lingering Programs
如果沙盘里只剩下以上程序，沙盘会自动结束其进程

LingerProcess=imeutil.exe
搜狗拼音输入法 辅助工具，不使用搜狗可以删掉

LingerProcess=pinyinup.exe
搜狗拼音输入法 升级工具，不使用搜狗可以删掉

LingerProcess=syncor.exe
顶星声卡驱动相关，其它声卡的可以删掉

LingerProcess=jusched.exe
Java自动更新程序，不用Java的可以删掉

LingerProcess=acrord32.exe
Adobe Reader 的进程，使用其它PDF阅读程序的，可以删掉

如果驻留程序是直接运行，而不是其它程序调用运行，那么驻留程序设置不起作用




=============================================================================================


主要程序 Leader Programs
一旦主要程序退出，沙盘里的其它程序全部终止
这样做，简化设置，不用写一堆LingerProcess，直接一条LeaderProcess 搞定
比如说：设置Firefox是Leader Programs ，IE退出，其它程序就结束运行

LeaderProcess=firefox.exe




=============================================================================================


文件迁移 File Migration Settings
文件迁移设置
默认，沙盘里的程序是不能直接修改系统文件，修改的是沙盘里的替身
先要从真实系统复制一个一模一样的文件到沙盘里，这个过程就是迁移
如果迁移一个过大的文件，比如好几G的文件，这样会影响效率，浪费时间，浪费空间
所以，要给迁移的文件大小，设置一个上限
超过这个上限，文件就不会复制到沙盘里，不能修改(只读)，并且会弹出一个提示
默认上限是49152KB,48MB，已经足够大，常用的网络程序不会迁移这么大的文件

CopyLimitKb=49152
CopyLimitSilent=y
当文件超过迁移上限，不弹出提示
CopyLimitSilent=n
当文件超过迁移上限，弹出提示

对于迁移文件，常见的错误理解
1.超过迁移文件上限，会直接修改真实系统的文件
完全错误，超过迁移上限的文件，是只读访问，不能被修改，并且不会复制到沙盘里

2.超过迁移上限的下载文件，会直接建立在真实系统或者不能完成下载
完全错误，迁移是将系统中已有的文件复制到沙盘里，在沙盘中修改
下载是在沙盘里建立系统原来没有的新文件
迁移上限只对系统已有文件迁移进入沙盘起作用
对于沙盘程序新建立的新文件，没有大小限制
哪怕是1M的上限，下载1G的文件，只要硬盘空间足够大，完全没有问题

如果，你将浏览器迁移上限设置成几百M或者几G，说明你对迁移上限的理解有误。




=============================================================================================


限制 Restrictions

沙盘对于来自外部的攻击，具有非常强的防御能力。
默认设置，不调整规则的话，只要浏览器是在沙盘里运行，不论是什么挂马、一般0day，这个洞，那个洞，只要结束浏览器进程，清空沙盘，就OK，不影响真实系统。

对于信息泄露，由内到外，沙盘的默认规则是不够的。要借助第三方防火墙。
这就是为什么，GeSWall、DefenseWall在新版都要加入类似于防火墙的功能，对程序联网进行控制。这样，在网络部分，直接用系统自带的防火墙防外，沙盘防火墙防内。

Sandboxie的Restrictions，提供了网络访问控制(类似应用程序防火墙 ND)，运行控制，进程间通讯控制
，驱动、全局钩子、模拟键盘鼠标 （AD），降低用户权限(SD)

通过设置Restrictions，完善规则，可以极大提高沙盘的安全性，特别是对隐私信息的保护

以上这些主要是通过策略限制来实现的。
沙盘的本质在隔离，创建一个不影响真实系统的测试环境
重定向、虚拟化、策略限制都只是手段而已，看你如何运用。

下面看，具体设置：

Internet 访问 Internet Access
提供一个网络访问的白名单，只允许白名单里的程序访问网络，其它程序禁止访问网络，类似应用程序防火墙功能。
实际上，白名单反映到设置文件上就是建立一个程序组，只允许该组成员访问网络。

在Internet Access 加入Firefox
会在全局设置 [GlobalSettings] 加入一个程序组，组名<InternetAccess_Firefox>,这个组只有一个组成员

firefox.exe

ProcessGroup=<InternetAccess_Firefox>,firefox.exe

然后在 [Firefox]里加入一段：

ClosedFilePath=!<InternetAccess_Firefox>,\Device\RawIp6
ClosedFilePath=!<InternetAccess_Firefox>,\Device\Udp6
ClosedFilePath=!<InternetAccess_Firefox>,\Device\Tcp6
ClosedFilePath=!<InternetAccess_Firefox>,\Device\Ip6
ClosedFilePath=!<InternetAccess_Firefox>,\Device\RawIp
ClosedFilePath=!<InternetAccess_Firefox>,\Device\Udp
ClosedFilePath=!<InternetAccess_Firefox>,\Device\Tcp
ClosedFilePath=!<InternetAccess_Firefox>,\Device\Ip
ClosedFilePath=!<InternetAccess_Firefox>,\Device\Afd*


<InternetAccess_Firefox>   沙盘Firefox 网络访问白名单
!<InternetAccess_Firefox>  沙盘Firefox 网络访问黑名单

阻止组<InternetAccess_Firefox>(也就是firefox.exe)以外的程序访问这些特殊的系统网络设备
换句话，只允许组<InternetAccess_Firefox>(也就是firefox.exe)访问网络
! 代表非，!<InternetAccess_Firefox>,代表除了<InternetAccess_Firefox>以外的其它程序
举个通俗例子：!<男人>，代表女人+; !<女人>代表男人+; !<男人，女人>，代表特殊人群
ClosedFilePath 后面再讲。

NotifyInternetAccessDenied=n
阻止程序访问网络以后不通知用户
NotifyInternetAccessDenied=y
阻止程序访问网络以后通知用户




=============================================================================================


启动/运行访问 Start/Run Access
通过建立一个白名单，只允许特定的程序运行，阻止其它程序运行。
实际上，白名单反映到设置文件上就是建立一个程序组，只允许该组成员运行。

在Start/Run Access 加入Firefox
会在全局设置 [GlobalSettings] 加入一个程序组，组名<StartRunAccess_Firefox>
这个组只有一个组成员 firefox.exe

ProcessGroup=<StartRunAccess_Firefox>,firefox.exe

然后在 [Firefox]里加入
ClosedIpcPath=!<StartRunAccess_Firefox>,*

阻止组<StartRunAccess_Firefox>(也就是firefox.exe)以外的程序访问任何IPC对象，结果就是禁止运行。
换句话，只允许组<StartRunAccess_Firefox>(也就是firefox.exe)运行


<StartRunAccess_Firefox>   沙盘Firefox 启动/运行白名单
!<StartRunAccess_Firefox>  沙盘Firefox 启动/运行黑名单


NotifyStartRunAccessDenied=n
阻止程序运行以后不通知用户
NotifyStartRunAccessDenied=y
阻止程序运行以后通知用户

ClosedIpcPath 后面再讲，*代表所有IPC对象



这样Firefox沙盘里只有Firefox进程可以访问网络和运行，访问有网马和漏洞的网站
网马运行不起来，keylogger程序也无法运行，隐私信息不会泄露。
目前，GeSWall 2.8.3 是沙盘里防信息泄露最强悍的，甚至超过了几乎所有各类HIPS
OnlineArmor 除外，OnlineArmor 3.1 Beta 收费版是所有HIPS里防信息泄露最强的

Sandboxie 的防键盘记录、屏幕记录、剪切板记录 没有什么改进
Sandboxie 可以防御，安装Windows 钩子或者驱动来记录键盘输入
对于AKLT 之类的高级键盘记录，几乎没有防御能力

不过，Sandboxie 使用另外一种办法来保护隐私泄露
很简单有效，就是白名单，除了白名单程序，禁止连网，禁止运行，再加上自动倒沙

举个例子
进行网上交易前，终止所有沙盘程序，清空有可能带来病毒的沙盘内容
在设置好白名单的沙盘里，运行IE，当然之前，要保证IE加载的插件是干净的
因为有白名单，病毒、键盘记录程序是无法运行的，根本无法记录密码
因为有自动倒沙，结束IE之后，下次运行，依然是一个干净的环境
安全没有100%，但是只要你学会规范使用沙盘，你的隐私、密码保护可以接近100%

因为还有其它的键盘记录的方式，比如跨域脚本(XSS)，所有HIPS都防不了，包括沙盘
防御XSS，使用一个安全的浏览器是很重要的，IE核心，我只会用TheWorld
非IE核心，我认为，Opera的安全性强于Firefox
不过，由于有NoScript这种BT扩展的存在，情况可能会不一样
所以，如果你使用Firefox，一定要安装NoScript这个BT扩展，对于防御XSS是非常有效的


=============================================================================================


程序降权 DropRights
降低用户权限，将管理员、Power Users 用户特权移除
DropAdminRights=y
沙盘中的程序以普通用户权限运行




=============================================================================================


底层访问 Low-level Access
底层权限，默认都是阻止的，允许的话会降低沙盘安全性。

BlockDrivers=y
阻止加载驱动
BlockDrivers=n
允许加载驱动，不是安装新驱动
加载驱动和安装新驱动是两回事

BlockWinHooks=y
阻止安装全局钩子
BlockWinHooks=n
允许安装全局钩子

BlockFakeInput=y
阻止模拟键盘鼠标输入
BlockFakeInput=n
允许模拟键盘鼠标输入




=============================================================================================


资源访问 Resource Access
默认沙盘里的程序不能直接访问系统资源，这里可以设置一些例外规则
例如：
可以让浏览器或下载软件直接访问下载目录
可能通过允许访问某些特殊类型资源，解决冲突问题

文件访问 File Access、注册表访问 Registry Access、IPC 访问 IPC Access
窗口访问 Window Access、COM访问 COM Access





文件访问 File Access



直接访问 Direct Acces
直接修改指定的目录或文件
对沙盘里安装的程序无效

OpenFilePath

例如：

OpenFilePath=firefox.exe,F:\Downloads\Temp\




=============================================================================================


OpenFilePath=thunder5.exe,F:\Downloads\Temp\




=============================================================================================


OpenFilePath=<StartRunAccess_Firefox>,%AppData%\SogouPY\




=============================================================================================


完全访问 Full Access
和Direct Acces相似，但是对程序不限制，沙盘里的程序也有效

安全性低于Direct Acces
直接访问能解决问题的地方，就不需要使用完全访问。

还有一个不同，Full Access可以访问命名管道

OpenPipePath

例如：
OpenPipePath=%AppData%\SogouPY\

OpenPipePath=\Device\NamedPipe\wkssvc
OpenPipePath=\Device\NamedPipe\srvsvc
允许沙盘中的程序通过 wkssvc和srvsvc 管理网络共享和用户账户





=============================================================================================


阻止访问 Blocked Access
阻止对文件资源的访问，包括读取、修改
优先级高于其它文件资源访问规则

ClosedFilePath

例如：
ClosedFilePath=C:\boot.ini
ClosedFilePath=C:\bootfont.bin




=============================================================================================


ClosedFilePath=!<InternetAccess_Firefox>,\Device\RawIp6
ClosedFilePath=!<InternetAccess_Firefox>,\Device\Udp6
ClosedFilePath=!<InternetAccess_Firefox>,\Device\Tcp6
ClosedFilePath=!<InternetAccess_Firefox>,\Device\Ip6
ClosedFilePath=!<InternetAccess_Firefox>,\Device\RawIp
ClosedFilePath=!<InternetAccess_Firefox>,\Device\Udp
ClosedFilePath=!<InternetAccess_Firefox>,\Device\Tcp
ClosedFilePath=!<InternetAccess_Firefox>,\Device\Ip
ClosedFilePath=!<InternetAccess_Firefox>,\Device\Afd*




=============================================================================================


ClosedFilePath=!<StartRunAccess_Firefox>,*




=============================================================================================


只读访问 Read-Only Access
直接读取真实系统文件，不允许修改，没有沙盘重定向

ReadFilePath

例如：
ReadFilePath=C:\Program Files\Avira\




=============================================================================================


注册表访问 Registry Access

直接访问 Direct Access
直接修改系统注册表，对于安装在沙盘里的程序无效
出于安全考虑，注册表访问没有完全访问

OpenKeyPath

例如：
OpenKeyPath=firefox.exe,HKEY_LOCAL_MACHINE\Software\Mozilla
OpenKeyPath=firefox.exe,HKEY_CURRENT_USER\Software\Mozilla




=============================================================================================


阻止访问 Blocked Access
阻止对注册表的一切访问
高优先级

ClosedKeyPath

例如：
ClosedKeyPath=HKEY_LOCAL_MACHINE\System\Comodo*




=============================================================================================


ClosedKeyPath=!<StartRunAccess_Firefox>,*




=============================================================================================


只读访问 Read-Only Access

ReadKeyPath

例如：
ReadKeyPath=HKEY_LOCAL_MACHINE\SOFTWARE\Policies




=============================================================================================


IPC 访问 IPC Access
NT IPC对象 Windows的进程(线程)间通信所建立的对象

Sandboxie 的IPC 对象包括
事件对象 Event
互斥对象 Mutant
共享内存区对象 Section
信标对象 Semaphore
LPC 端口对象 Port

具体什么是Sandboxie里的IPC对象，可以通过Sandboxie 控制 文件 资源访问监控 看到
通常是 \BaseNamedObjects、\RPC Control

注：命名管道(Named Pipe) 要设置文件资源完全访问 (OpenPipePath)

允许直接访问IPC对象，使沙盘内程序可以直接访问沙盘外程序所提供的资源和服务
会降低沙盘的安全性，使程序的某些行为，不再被沙盘监控，不推荐使用
除非是为了解决程序和Sandboxie冲突，必须允许对某些IPC对象的直接访问。


=============================================================================================


直接访问 Direct Access
允许所有程序访问NT IPC对象，包括沙盘内下载、安装的程序

OpenIpcPath

例如(翻译：baerzake)：
OpenIpcPath=\RPC Control\!IcaApi
OpenIpcPath=\RPC Control\seclogon

第一个例子 OpenIpcPath=\RPC Control\!IcaApi 就是允许访问终端服务子系统所提供的资源。能让沙盘中程序与此子系统对话并且发现活动在系统中的其他终端服务。但是允许访问这个资源同时也会被恶意程序利用来终止沙盘外的程序。

第二个例子是允许访问\RPC Control\seclogon。这个是指允许访问WINDOWS Run As 服务所提供的资源。它能让沙盘中的程序调用运行另一个使用不同用户证书的程序。并且，这个被调用的程序会在沙盘外被执行，不受沙盘控制。




=============================================================================================


阻止访问 Blocked Access
阻止对IPC对象的访问，优先级高于直接访问

Sandboxie 对于一些常用的系统IPC对象，进行了例外处理
阻止访问IPC 可以用来彻底阻止这种类型的例外
阻止访问IPC 还可以用来只允许特定程序启动、运行或者阻止所有程序启动、运行

ClosedIpcPath

例如：
ClosedIpcPath=!<StartRunAccess_IE7>,*
ClosedIpcPath=!<StartRunAccess_Firefox>,*
ClosedIpcPath=*




=============================================================================================


窗口访问 Windows Access

通常Sandboxie不允许沙盘内程序访问、通信、关闭或销毁沙盘外的窗口
窗口访问就是为了设置例外规则
目的还是为了解决冲突
窗口名window class name，可以用资源访问监控来获取

OpenWinClass

例如：
OpenWinClass=ConsoleWindowClass
OpenWinClass=ATL:*
OpenWinClass=*




=============================================================================================


COM访问 COM Access

沙盘内的程序默认是不能访问沙盘外程序提供的COM组件服务
允许访问特定的COM组件，也是为了解决在使用中的问题，提供例外设置
COM 是有可能造成信息泄露的，比如PCFlank测试

OpenClsid

例如：
OpenClsid={D713F357-7920-4B91-9EB6-49054709EC7A}




=============================================================================================


应用程序 没什么好讲的
主要是按照设置，自动生成收藏夹、书签、邮箱的直接访问规则
稍微讲一下受保护的存储和自动完成记录

实际上是一个系统服务 Protected Storage，简称 PStore
是为应用程序的安全保存提供一个接口
保存了一些微软他们家程序的隐密信息，如：
1. Outlook 密码
2. Internet Explorer中自动保存的密码
3. Internet Explorer中有密码保护的网站
4. MSN Explorer浏览器登录账户密码
5. IE自动完成的资料（例如填表时的个人资料、搜索历史）
有像Protected Storage PassView这类密码查看工具存在，是否保存到系统，看个人选择。




=============================================================================================


一些分散在菜单里，沙盘设置里没有或只能用Sandboxie.ini添加的设置项

AlertProcess
全局设置，当任何以下程序在沙盘外启动时，Sandboxie 会发出 SBIE1301 信息
可以在配置菜单，警告提示设置

[GlobalSettings]
AlertProcess=iexplore.exe
AlertProcess=firefox.exe

=============================================================================================

ForceDisableSeconds
禁用强制运行程序的持续时间，默认是10秒
如果设置为0，表示禁止禁用强制运行程序
可以在文件菜单强制运行程序设置
[GlobalSettings]
ForceDisableSeconds=25
ForceDisableSeconds=0

=============================================================================================

ForceDisableAdminOnly
只有管理员帐户才能禁用强制运行程序
[GlobalSettings]
ForceDisableAdminOnly=y

=============================================================================================

EditAdminOnly
普通用户不能修改全局设置和沙盘设置，只能修改用户设置
[GlobalSettings]
EditAdminOnly=y

=============================================================================================

MonitorAdminOnly
只有管理员可以使用 “资源访问监控”
[GlobalSettings]
MonitorAdminOnly=y

=============================================================================================

FileRootPath
用来设置特定沙盘的根目录，默认是C:\Sandbox\%USER%\%SANDBOX%
还可以用在全局设置，为没有指定沙盘根目录的沙盘，设置默认的沙盘根目录
特定沙盘的 FileRootPath 优先级高于 全局设置的 FileRootPath

如果，经常下载大的文件，或者在沙盘安装很多程序
将沙盘根目录放在C盘不合适，放到非系统盘D，会更好
[GlobalSettings]
FileRootPath=D:\Sandbox\%USER%\%SANDBOX%

对于，有些需要自动倒沙的，可以放到C盘，另外，沙盘根目录在C盘默认位置，兼容性最好

[IE7]
FileRootPath=C:\Sandbox\%USER%\%SANDBOX%

[Firefox]
FileRootPath=C:\Sandbox\%USER%\%SANDBOX%

[Opera]
FileRootPath=C:\Sandbox\%USER%\%SANDBOX%

如果使用Ramdisk，可以放到Z盘
[IE7]
FileRootPath=Z:\

如果，测试病毒，不想放到有常用程序的C、D盘
[Virus]
FileRootPath=F:\Sandbox\virus\

[ 本帖最后由 ubuntu 于 2009-1-21 15:55 编辑 ]

一个完整的沙盘设置示例

各个沙盘的用途已经标清楚了，下载临时目录强制到USBDisk里运行
因为防御的办法是一样的




如果经常使用下载软件，可以仿照浏览器设置建立一个单独的沙盘
如果，还有其它入口程序要在沙盘里运行，可以仿照DefaultBox、浏览器和Redirect沙盘建立一个多程序运行的沙盘

从安全和配置演示的角度看，下面的配置文件，在3.34版，堪称简洁、经典、完美。

只要在浏览器 文件访问--直接访问 添加自己的下载目录，在文件访问-- 阻止访问，添加自己的重要目录

在 USBDisk 添加自己的U盘

作为主力浏览器的Opera 允许的比默认规则多，可以根据自己的要求修改Opera直接访问的文件和目录

Firefox更新扩展需要禁用强制运行，在沙盘外更新

如果，你不使用红豆组合，相关的设置可以删除和修改。或者，直接用，也没有影响。


20090301  规则修订：在沙盘 [IE7] 增加对Theworld的支持
20090408  规则修订：在沙盘 [IE7] 移除 ClosedFilePath=*\shell32.dll
20090415  规则修订：支持3.36版新特性(自定义程序设置模版)，增加对Chrome(Chromium)、Maxthon2的支持，沙盘[IE7]更名为[IE8]
20090601  规则修订：支持3.38版，增加支持K-Meleon


配置文件 Sandboxie.ini [Sandboxie 3.38版]

1. [GlobalSettings]
   
2. 
   
3. ProcessGroup=<StartRunAccess_IE8>,iexplore.exe,theworld.exe,maxthon.exe,thunder.exe,thunder5.exe,imeutil.exe,pinyinup.exe,notepad.exe,7zfm.exe,winrar.exe,sandboxiedcomlaunch.exe,sandboxierpcss.exe,sandboxiecrypto.exe,start.exe
   
4. ProcessGroup=<InternetAccess_IE8>,iexplore.exe,theworld.exe,maxthon.exe,thunder.exe,thunder5.exe,pinyinup.exe
   
5. ProcessGroup=<StartRunAccess_Google_Chrome>,chrome.exe,imeutil.exe,pinyinup.exe,sandboxiedcomlaunch.exe,sandboxierpcss.exe,start.exe
   
6. ProcessGroup=<InternetAccess_Google_Chrome>,chrome.exe,pinyinup.exe
   
7. ProcessGroup=<StartRunAccess_Opera>,opera.exe,edown.exe,flashgot.exe,oget.exe,thunder.exe,thunder5.exe,imeutil.exe,pinyinup.exe,notepad.exe,7zfm.exe,winrar.exe,sandboxiedcomlaunch.exe,sandboxierpcss.exe,start.exe
   
8. ProcessGroup=<InternetAccess_Opera>,opera.exe,thunder.exe,thunder5.exe,pinyinup.exe
   
9. ProcessGroup=<StartRunAccess_Firefox>,firefox.exe,flashgot.exe,thunder.exe,thunder5.exe,imeutil.exe,pinyinup.exe,notepad.exe,7zfm.exe,winrar.exe,sandboxiedcomlaunch.exe,sandboxierpcss.exe,sandboxiecrypto.exe,start.exe
   
10. ProcessGroup=<InternetAccess_Firefox>,firefox.exe,thunder.exe,thunder5.exe,pinyinup.exe
    
11. ProcessGroup=<StartRunAccess_KMeleon>,k-meleon.exe,flashgot.exe,oget.exe,thunder.exe,thunder5.exe,imeutil.exe,pinyinup.exe,notepad.exe,7zfm.exe,winrar.exe,sandboxiedcomlaunch.exe,sandboxierpcss.exe,sandboxiecrypto.exe,start.exe
    
12. ProcessGroup=<InternetAccess_KMeleon>,k-meleon.exe,thunder.exe,thunder5.exe,pinyinup.exe
    
13. BlockDrivers=y
    
14. BlockWinHooks=y
    
15. BlockFakeInput=y
    
16. ForceDisableAdminOnly=y
    
17. EditAdminOnly=y
    
18. FileRootPath=C:\Sandbox\%USER%\%SANDBOX%
    
19. ForceDisableSeconds=60
    
20. 
    
21. [DefaultBox]
    
22. 
    
23. Enabled=y
    
24. ConfigLevel=6
    
25. Template=LingerPrograms
    
26. Template=Firefox_Phishing_DirectAccess
    
27. Template=AutoRecoverIgnore
    
28. Template=Lingoes
    
29. Template=Local_LingerPrograms
    
30. Template=Local_AutoRecoverIgnore_Thunder
    
31. BoxNameTitle=y
    
32. BorderColor=#00FFFF,off
    
33. RecoverFolder=F:\Downloads
    
34. RecoverFolder=%Personal%
    
35. RecoverFolder=%Favorites%
    
36. RecoverFolder=%Desktop%
    
37. AutoRecover=y
    
38. 
    
39. [IE8]
    
40. 
    
41. Enabled=y
    
42. ConfigLevel=6
    
43. Template=LingerPrograms
    
44. Template=AutoRecoverIgnore
    
45. Template=Lingoes
    
46. Template=IExplore_Force
    
47. Template=IExplore_Favorites_RecoverFolder
    
48. Template=Maxthon2_Force
    
49. Template=Maxthon2_Favorites_DirectAccess
    
50. Template=Maxthon2_SharedAccount_DirectAccess
    
51. Template=Local_IExplore
    
52. Template=Local_Maxthon2
    
53. Template=Local_TheWorld
    
54. Template=Local_LingerPrograms
    
55. Template=Local_AutoRecoverIgnore_Thunder
    
56. Template=Local_Thunder_History
    
57. Template=Local_ComodoProtected
    
58. Template=Local_IEProtected
    
59. Template=Local_SystemProtected
    
60. BoxNameTitle=y
    
61. BorderColor=#00FFFF,off
    
62. RecoverFolder=F:\Downloads
    
63. RecoverFolder=%Desktop%
    
64. AutoRecover=n
    
65. AutoDelete=y
    
66. NeverDelete=n
    
67. DeleteCommand=%SystemRoot%\System32\cmd.exe /c RMDIR /s /q "%SANDBOX%"
    
68. LeaderProcess=iexplore.exe
    
69. LeaderProcess=theworld.exe
    
70. LeaderProcess=maxthon.exe
    
71. CopyLimitKb=49152
    
72. CopyLimitSilent=y
    
73. NotifyInternetAccessDenied=n
    
74. NotifyStartRunAccessDenied=n
    
75. DropAdminRights=y
    
76. OpenFilePath=iexplore.exe,F:\Downloads\Temp\
    
77. OpenFilePath=theworld.exe,F:\Downloads\Temp\
    
78. OpenFilePath=maxthon.exe,F:\Downloads\Temp\
    
79. OpenFilePath=thunder5.exe,F:\Downloads\Temp\
    
80. OpenFilePath=<StartRunAccess_IE8>,%AppData%\SogouPY\
    
81. ClosedFilePath=E:\重要文件\
    
82. ClosedFilePath=E:\系统备份\
    
83. ClosedFilePath=!<InternetAccess_IE8>,\Device\RawIp6
    
84. ClosedFilePath=!<InternetAccess_IE8>,\Device\Udp6
    
85. ClosedFilePath=!<InternetAccess_IE8>,\Device\Tcp6
    
86. ClosedFilePath=!<InternetAccess_IE8>,\Device\Ip6
    
87. ClosedFilePath=!<InternetAccess_IE8>,\Device\RawIp
    
88. ClosedFilePath=!<InternetAccess_IE8>,\Device\Udp
    
89. ClosedFilePath=!<InternetAccess_IE8>,\Device\Tcp
    
90. ClosedFilePath=!<InternetAccess_IE8>,\Device\Ip
    
91. ClosedFilePath=!<InternetAccess_IE8>,\Device\Afd*
    
92. OpenIpcPath=<StartRunAccess_IE8>,*\BaseNamedObjects*\mem_user_dict*
    
93. ClosedIpcPath=!<StartRunAccess_IE8>,*
    
94. 
    
95. [Opera]
    
96. 
    
97. Enabled=y
    
98. ConfigLevel=6
    
99. Template=LingerPrograms
    
100. Template=Lingoes
     
101. Template=AutoRecoverIgnore
     
102. Template=Opera_Force
     
103. Template=Opera_Bookmarks_DirectAccess
     
104. Template=Opera_Profile_DirectAccess
     
105. Template=Opera_Mail
     
106. Template=Local_Opera
     
107. Template=Local_LingerPrograms
     
108. Template=Local_AutoRecoverIgnore_Thunder
     
109. Template=Local_Thunder_History
     
110. Template=Local_ComodoProtected
     
111. Template=Local_SystemProtected
     
112. BoxNameTitle=y
     
113. BorderColor=#00FFFF,off
     
114. RecoverFolder=F:\Downloads
     
115. RecoverFolder=%Desktop%
     
116. AutoRecover=n
     
117. AutoDelete=y
     
118. NeverDelete=n
     
119. DeleteCommand=%SystemRoot%\System32\cmd.exe /c RMDIR /s /q "%SANDBOX%"
     
120. LeaderProcess=opera.exe
     
121. CopyLimitKb=49152
     
122. CopyLimitSilent=y
     
123. NotifyInternetAccessDenied=n
     
124. NotifyStartRunAccessDenied=n
     
125. DropAdminRights=y
     
126. OpenFilePath=opera.exe,F:\Downloads\Temp\
     
127. OpenFilePath=thunder5.exe,F:\Downloads\Temp\
     
128. OpenFilePath=<StartRunAccess_Opera>,%AppData%\SogouPY\
     
129. ClosedFilePath=!<InternetAccess_Opera>,\Device\RawIp6
     
130. ClosedFilePath=!<InternetAccess_Opera>,\Device\Udp6
     
131. ClosedFilePath=!<InternetAccess_Opera>,\Device\Tcp6
     
132. ClosedFilePath=!<InternetAccess_Opera>,\Device\Ip6
     
133. ClosedFilePath=!<InternetAccess_Opera>,\Device\RawIp
     
134. ClosedFilePath=!<InternetAccess_Opera>,\Device\Udp
     
135. ClosedFilePath=!<InternetAccess_Opera>,\Device\Tcp
     
136. ClosedFilePath=!<InternetAccess_Opera>,\Device\Ip
     
137. ClosedFilePath=!<InternetAccess_Opera>,\Device\Afd*
     
138. OpenIpcPath=<StartRunAccess_Opera>,*\BaseNamedObjects*\mem_user_dict*
     
139. ClosedIpcPath=!<StartRunAccess_Opera>,*
     
140. FileRootPath=C:\Sandbox\%USER%\%SANDBOX%
     
141. 
     
142. [Google_Chrome]
     
143. 
     
144. Enabled=y
     
145. ConfigLevel=6
     
146. Template=LingerPrograms
     
147. Template=Lingoes
     
148. Template=Chrome_Force
     
149. Template=AutoRecoverIgnore
     
150. Template=Local_Chrome
     
151. Template=Local_LingerPrograms
     
152. Template=Local_ComodoProtected
     
153. Template=Local_SystemProtected
     
154. BoxNameTitle=y
     
155. BorderColor=#00FFFF,off
     
156. RecoverFolder=F:\Downloads
     
157. RecoverFolder=%Desktop%
     
158. AutoRecover=n
     
159. AutoDelete=y
     
160. NeverDelete=n
     
161. DeleteCommand=%SystemRoot%\System32\cmd.exe /c RMDIR /s /q "%SANDBOX%"
     
162. LeaderProcess=chrome.exe
     
163. CopyLimitKb=49152
     
164. CopyLimitSilent=y
     
165. NotifyInternetAccessDenied=n
     
166. NotifyStartRunAccessDenied=n
     
167. DropAdminRights=y
     
168. OpenFilePath=chrome.exe,F:\Downloads\Temp\
     
169. OpenFilePath=<StartRunAccess_Google_Chrome>,%AppData%\SogouPY\
     
170. ClosedFilePath=!<InternetAccess_Google_Chrome>,\Device\RawIp6
     
171. ClosedFilePath=!<InternetAccess_Google_Chrome>,\Device\Udp6
     
172. ClosedFilePath=!<InternetAccess_Google_Chrome>,\Device\Tcp6
     
173. ClosedFilePath=!<InternetAccess_Google_Chrome>,\Device\Ip6
     
174. ClosedFilePath=!<InternetAccess_Google_Chrome>,\Device\RawIp
     
175. ClosedFilePath=!<InternetAccess_Google_Chrome>,\Device\Udp
     
176. ClosedFilePath=!<InternetAccess_Google_Chrome>,\Device\Tcp
     
177. ClosedFilePath=!<InternetAccess_Google_Chrome>,\Device\Ip
     
178. ClosedFilePath=!<InternetAccess_Google_Chrome>,\Device\Afd*
     
179. OpenIpcPath=<StartRunAccess_Google_Chrome>,*\BaseNamedObjects*\mem_user_dict*
     
180. ClosedIpcPath=!<StartRunAccess_Google_Chrome>,*
     
181. FileRootPath=C:\Sandbox\%USER%\%SANDBOX%
     
182. 
     
183. [Firefox]
     
184. 
     
185. Enabled=y
     
186. ConfigLevel=6
     
187. Template=LingerPrograms
     
188. Template=Firefox_Phishing_DirectAccess
     
189. Template=AutoRecoverIgnore
     
190. Template=Lingoes
     
191. Template=Firefox_Force
     
192. Template=Firefox_Bookmarks_DirectAccess
     
193. Template=Local_Firefox
     
194. Template=Local_LingerPrograms
     
195. Template=Local_Thunder_History
     
196. Template=Local_AutoRecoverIgnore_Thunder
     
197. Template=Local_ComodoProtected
     
198. Template=Local_SystemProtected
     
199. BoxNameTitle=y
     
200. BorderColor=#00FFFF,off
     
201. RecoverFolder=F:\Downloads
     
202. RecoverFolder=%Desktop%
     
203. AutoDelete=y
     
204. NeverDelete=n
     
205. DeleteCommand=%SystemRoot%\System32\cmd.exe /c RMDIR /s /q "%SANDBOX%"
     
206. LeaderProcess=firefox.exe
     
207. CopyLimitKb=49152
     
208. CopyLimitSilent=y
     
209. NotifyInternetAccessDenied=n
     
210. NotifyStartRunAccessDenied=n
     
211. DropAdminRights=y
     
212. OpenFilePath=firefox.exe,F:\Downloads\Temp\
     
213. OpenFilePath=thunder5.exe,F:\Downloads\Temp\
     
214. OpenFilePath=<StartRunAccess_Firefox>,%AppData%\SogouPY\
     
215. ClosedFilePath=!<InternetAccess_Firefox>,\Device\RawIp6
     
216. ClosedFilePath=!<InternetAccess_Firefox>,\Device\Udp6
     
217. ClosedFilePath=!<InternetAccess_Firefox>,\Device\Tcp6
     
218. ClosedFilePath=!<InternetAccess_Firefox>,\Device\Ip6
     
219. ClosedFilePath=!<InternetAccess_Firefox>,\Device\RawIp
     
220. ClosedFilePath=!<InternetAccess_Firefox>,\Device\Udp
     
221. ClosedFilePath=!<InternetAccess_Firefox>,\Device\Tcp
     
222. ClosedFilePath=!<InternetAccess_Firefox>,\Device\Ip
     
223. ClosedFilePath=!<InternetAccess_Firefox>,\Device\Afd*
     
224. OpenIpcPath=<StartRunAccess_Firefox>,*\BaseNamedObjects*\mem_user_dict*
     
225. ClosedIpcPath=!<StartRunAccess_Firefox>,*
     
226. 
     
227. [KMeleon]
     
228. 
     
229. Enabled=y
     
230. ConfigLevel=6
     
231. Template=LingerPrograms
     
232. Template=AutoRecoverIgnore
     
233. Template=Lingoes
     
234. Template=Local_KMeleon
     
235. Template=Local_LingerPrograms
     
236. Template=Local_Thunder_History
     
237. Template=Local_AutoRecoverIgnore_Thunder
     
238. Template=Local_ComodoProtected
     
239. Template=Local_SystemProtected
     
240. BoxNameTitle=y
     
241. BorderColor=#00FFFF,off
     
242. RecoverFolder=F:\Downloads
     
243. RecoverFolder=%Desktop%
     
244. AutoRecover=n
     
245. AutoDelete=y
     
246. NeverDelete=n
     
247. DeleteCommand=%SystemRoot%\System32\cmd.exe /c RMDIR /s /q "%SANDBOX%"
     
248. LeaderProcess=k-meleon.exe
     
249. CopyLimitKb=49152
     
250. CopyLimitSilent=y
     
251. NotifyInternetAccessDenied=n
     
252. NotifyStartRunAccessDenied=n
     
253. DropAdminRights=y
     
254. OpenFilePath=k-meleon.exe,F:\Downloads\Temp\
     
255. OpenFilePath=thunder5.exe,F:\Downloads\Temp\
     
256. OpenFilePath=<StartRunAccess_KMeleon>,%AppData%\SogouPY\
     
257. ClosedFilePath=!<InternetAccess_KMeleon>,\Device\RawIp6
     
258. ClosedFilePath=!<InternetAccess_KMeleon>,\Device\Udp6
     
259. ClosedFilePath=!<InternetAccess_KMeleon>,\Device\Tcp6
     
260. ClosedFilePath=!<InternetAccess_KMeleon>,\Device\Ip6
     
261. ClosedFilePath=!<InternetAccess_KMeleon>,\Device\RawIp
     
262. ClosedFilePath=!<InternetAccess_KMeleon>,\Device\Udp
     
263. ClosedFilePath=!<InternetAccess_KMeleon>,\Device\Tcp
     
264. ClosedFilePath=!<InternetAccess_KMeleon>,\Device\Ip
     
265. ClosedFilePath=!<InternetAccess_KMeleon>,\Device\Afd*
     
266. OpenIpcPath=<StartRunAccess_KMeleon>,*\BaseNamedObjects*\mem_user_dict*
     
267. ClosedIpcPath=!<StartRunAccess_KMeleon>,*
     
268. 
     
269. [Redirect]
     
270. 
     
271. Enabled=y
     
272. ConfigLevel=6
     
273. BoxNameTitle=y
     
274. Template=LingerPrograms
     
275. Template=Firefox_Phishing_DirectAccess
     
276. Template=AutoRecoverIgnore
     
277. Template=Lingoes
     
278. Template=Local_Thunder_History
     
279. Template=Local_AutoRecoverIgnore_Thunder
     
280. Template=Local_LingerPrograms
     
281. Template=Local_ComodoProtected
     
282. BorderColor=#00FFFF,off
     
283. AutoRecover=n
     
284. RecoverFolder=F:\Downloads
     
285. RecoverFolder=%Personal%
     
286. RecoverFolder=%Favorites%
     
287. RecoverFolder=%Desktop%
     
288. AutoDelete=n
     
289. NeverDelete=y
     
290. DeleteCommand=%SystemRoot%\System32\cmd.exe /c RMDIR /s /q "%SANDBOX%"
     
291. CopyLimitKb=49152
     
292. CopyLimitSilent=n
     
293. OpenFilePath=thunder5.exe,F:\Downloads\Temp\
     
294. OpenPipePath=%AppData%\SogouPY\
     
295. ClosedFilePath=C:\boot.ini
     
296. ClosedFilePath=C:\bootfont.bin
     
297. ClosedFilePath=C:\ntldr
     
298. ClosedFilePath=C:\ntdetect.com
     
299. ClosedFilePath=*.gho
     
300. ReadFilePath=C:\Program Files\Avira\
     
301. ClosedKeyPath=HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*
     
302. ClosedKeyPath=HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run*
     
303. OpenIpcPath=*\BaseNamedObjects*\mem_user_dict*
     
304. FileRootPath=D:\Sandbox\%USER%\%SANDBOX%
     
305. 
     
306. [USBDisk]
     
307. 
     
308. Enabled=y
     
309. ConfigLevel=6
     
310. BoxNameTitle=y
     
311. BorderColor=#00FFFF,off
     
312. AutoDelete=y
     
313. NeverDelete=n
     
314. DeleteCommand=%SystemRoot%\System32\cmd.exe /c RMDIR /s /q "%SANDBOX%"
     
315. ForceFolder=J:\
     
316. ForceFolder=F:\Downloads\Temp
     
317. CopyLimitKb=4096
     
318. CopyLimitSilent=y
     
319. NotifyInternetAccessDenied=n
     
320. NotifyStartRunAccessDenied=n
     
321. DropAdminRights=y
     
322. ClosedFilePath=\Device\RawIp6
     
323. ClosedFilePath=\Device\Udp6
     
324. ClosedFilePath=\Device\Tcp6
     
325. ClosedFilePath=\Device\Ip6
     
326. ClosedFilePath=\Device\RawIp
     
327. ClosedFilePath=\Device\Udp
     
328. ClosedFilePath=\Device\Tcp
     
329. ClosedFilePath=\Device\Ip
     
330. ClosedFilePath=\Device\Afd*
     
331. ClosedIpcPath=*
     
332. 
     
333. [Virus]
     
334. 
     
335. Enabled=y
     
336. ConfigLevel=6
     
337. Template=LingerPrograms
     
338. Template=Firefox_Phishing_DirectAccess
     
339. Template=AutoRecoverIgnore
     
340. Template=Local_LingerPrograms
     
341. Template=Local_ComodoProtected
     
342. BoxNameTitle=y
     
343. BorderColor=#0000FF
     
344. ForceFolder=F:\leaktests
     
345. ForceFolder=F:\virus
     
346. CopyLimitKb=2048
     
347. CopyLimitSilent=y
     
348. DropAdminRights=y
     
349. FileRootPath=F:\Sandbox\virus\
     
350. 
     
351. [Template_Local_IExplore]
     
352. 
     
353. Tmpl.Title=Template_Local_IExplore
     
354. Tmpl.Class=Local
     
355. OpenFilePath=iexplore.exe,%Favorites%\*.url
     
356. OpenFilePath=iexplore.exe,%Favorites%\*.ico
     
357. OpenFilePath=iexplore.exe,%Cookies%\*.txt
     
358. 
     
359. [Template_Local_TheWorld]
     
360. 
     
361. Tmpl.Title=Template_Local_TheWorld
     
362. Tmpl.Class=Local
     
363. ForceProcess=theworld.exe
     
364. OpenFilePath=theworld.exe,%Favorites%\*.url
     
365. OpenFilePath=theworld.exe,%Favorites%\*.ico
     
366. OpenFilePath=theworld.exe,%Cookies%\*.txt
     
367. OpenFilePath=theworld.exe,*\theworld*\theworld.ini
     
368. OpenFilePath=theworld.exe,*\theworld*\form.ini
     
369. OpenFilePath=theworld.exe,*\theworld*\passlist.dat
     
370. OpenFilePath=theworld.exe,*\theworld*\theworld.ac
     
371. OpenFilePath=theworld.exe,*\theworld*\theworld.xml
     
372. OpenFilePath=theworld.exe,*\theworld*\twcache.ini
     
373. OpenFilePath=theworld.exe,*\theworld*\imgcache\*.ico
     
374. 
     
375. [Template_Local_Maxthon2]
     
376. 
     
377. Tmpl.Title=Template_Local_Maxthon2
     
378. Tmpl.Class=Local
     
379. OpenFilePath=maxthon.exe,%Cookies%\*.txt
     
380. 
     
381. [Template_Local_IEProtected]
     
382. 
     
383. Tmpl.Title=Template_Local_IEProtected
     
384. Tmpl.Class=Local
     
385. ClosedFilePath=*\wshom.ocx
     
386. ClosedFilePath=*\scrrun.dll
     
387. ClosedFilePath=*\msado15.dll
     
388. ClosedFilePath=*\msadco.dll
     
389. 
     
390. [Template_Local_Chrome]
     
391. 
     
392. Tmpl.Title=Template_Local_Chrome
     
393. Tmpl.Class=Local
     
394. OpenFilePath=chrome.exe,%Local AppData%\Google\Chrome\User Data\
     
395. OpenFilePath=chrome.exe,%Local AppData%\Chromium\User Data\
     
396. OpenFilePath=chrome.exe,D:\Program Files\Chrome\User Data\
     
397. 
     
398. [Template_Local_Opera]
     
399. 
     
400. Tmpl.Title=Template_Local_Opera
     
401. Tmpl.Class=Local
     
402. OpenFilePath=opera.exe,*\Opera\mail\
     
403. OpenFilePath=opera.exe,*\Opera\Profile\icons\
     
404. OpenFilePath=opera.exe,*\Opera\Profile\images\
     
405. OpenFilePath=opera.exe,*\Opera\Profile\thumbnails\*.png
     
406. OpenFilePath=opera.exe,*\Opera\Profile\cookies4.dat
     
407. OpenFilePath=opera.exe,*\Opera\Profile\contacts.adr
     
408. OpenFilePath=opera.exe,*\Opera\Profile\opera6.adr
     
409. OpenFilePath=opera.exe,*\Opera\Profile\notes.adr
     
410. OpenFilePath=opera.exe,*\Opera\Profile\global.dat
     
411. OpenFilePath=opera.exe,*\Opera\Profile\download.dat
     
412. OpenFilePath=opera.exe,*\Opera\Profile\wand.dat
     
413. OpenFilePath=opera.exe,*\Opera\Profile\opera6.ini
     
414. OpenFilePath=opera.exe,*\Opera\Profile\speeddial.ini
     
415. OpenFilePath=opera.exe,*\Opera\Profile\urlfilter.ini
     
416. OpenFilePath=opera.exe,*\Opera\Profile\typed_history.xml
     
417. OpenFilePath=opera.exe,*\Opera\Profile\sessions\autosave.win
     
418. 
     
419. [Template_Local_Firefox]
     
420. 
     
421. Tmpl.Title=Template_Local_Firefox
     
422. Tmpl.Class=Local
     
423. OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*\prefs.js
     
424. OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*\bookmarks*
     
425. OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*\patterns*
     
426. OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*\places*
     
427. OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*\persdict.dat
     
428. OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*\*.sqlite*
     
429. 
     
430. [Template_Local_KMeleon]
     
431. 
     
432. Tmpl.Title=Template_Local_KMeleon
     
433. Tmpl.Class=Local
     
434. ForceProcess=k-meleon.exe
     
435. OpenFilePath=k-meleon.exe,*\Pref\bookmarks*
     
436. OpenFilePath=k-meleon.exe,*\Profiles\*\prefs.js
     
437. OpenFilePath=k-meleon.exe,*\Profiles\*\patterns*
     
438. OpenFilePath=k-meleon.exe,*\Profiles\*\persdict.dat
     
439. OpenFilePath=k-meleon.exe,*\Profiles\*\*.sqlite*
     
440. OpenFilePath=k-meleon.exe,*\Profiles\*\Cache\*
     
441. 
     
442. [Template_Local_LingerPrograms]
     
443. 
     
444. Tmpl.Title=Template_LingerPrograms
     
445. Tmpl.Class=Local
     
446. LingerProcess=pinyinup.exe
     
447. LingerProcess=imeutil.exe
     
448. LingerProcess=ppsap.exe
     
449. LingerProcess=sopadver.exe
     
450. 
     
451. [Template_Local_AutoRecoverIgnore_Thunder]
     
452. 
     
453. Tmpl.Title=Template_Local_AutoRecoverIgnore_Thunder
     
454. Tmpl.Class=Local
     
455. AutoRecoverIgnore=.td
     
456. AutoRecoverIgnore=.td.cfg
     
457. 
     
458. [Template_Local_Thunder_History]
     
459. 
     
460. Tmpl.Title=Template_Local_Thunder_History
     
461. Tmpl.Class=Local
     
462. OpenFilePath=thunder5.exe,*\Profiles\history6.dat*
     
463. 
     
464. [Template_Local_SystemProtected]
     
465. 
     
466. Tmpl.Title=Template_Local_SystemProtected
     
467. Tmpl.Class=Local
     
468. ClosedFilePath=C:\boot.ini
     
469. ClosedFilePath=C:\bootfont.bin
     
470. ClosedFilePath=C:\ntldr
     
471. ClosedFilePath=C:\ntdetect.com
     
472. ClosedFilePath=*.bat
     
473. ClosedFilePath=*.com
     
474. ClosedFilePath=*.cmd
     
475. ClosedFilePath=*.pif
     
476. ClosedFilePath=*.vbs
     
477. ClosedFilePath=*.scr
     
478. ClosedFilePath=*.hta
     
479. ClosedFilePath=*.gho
     
480. ReadFilePath=C:\Program Files\Avira\
     
481. ClosedKeyPath=HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*
     
482. ClosedKeyPath=HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run*
     
483. 
     
484. [Template_Local_ComodoProtected]
     
485. 
     
486. Tmpl.Title=Template_Local_ComodoProtected
     
487. Tmpl.Class=Local
     
488. ClosedFilePath=C:\Program Files\COMODO\
     
489. ClosedFilePath=C:\Documents and Settings\All Users\Application Data\comodo\
     
490. ClosedFilePath=C:\WINDOWS\system32\drivers\cmdguard.sys
     
491. ClosedFilePath=C:\WINDOWS\system32\drivers\cmdhlp.sys
     
492. ClosedFilePath=C:\WINDOWS\system32\drivers\inspect.sys
     
493. ReadFilePath=C:\WINDOWS\system32\guard32.dll
     
494. ClosedKeyPath=HKEY_LOCAL_MACHINE\System\Comodo*
     
495. ClosedKeyPath=HKEY_LOCAL_MACHINE\Software\Comodo*
     
496. ClosedKeyPath=HKEY_CURRENT_USER\Software\Comodo*
     
497. ClosedKeyPath=HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\COMODO Internet Security

复制代码

沙盘之路完成！
谢谢阅读！
希望大家能够找到一条适合自己的沙盘之路。






诱敌于沙盘之中，不战而屈人之兵，善之善者也！



电子书下载 （感谢hdpei制作）

地址1：http://www.91files.com/?E963SGQMCZOEL8ZSO1I8
地址2：http://www.brsbox.com/filebox/do ... 23ac219433d622eea65

MD5：FC03C5218AF528FEAFEB3DA1BCD9CA20









[ 本帖最后由 ubuntu 于 2009-6-2 10:49 编辑 ]

沙发

感谢大家支持，指出错误，恕不壹壹回复！

[ 本帖最后由 ubuntu 于 2009-1-20 18:18 编辑 ]

板凳

地板

晕，原来前面不开放权限是为了干这个啊

太过分了，我还好心把自己回帖删掉，怕你是有什么事

进来学习学习