Board logo

标题: [原创] OpenSandboxiePath——沙盘之路 [打印本页]
作者: ubuntu    时间: 2009-1-20 15:53     标题: OpenSandboxiePath——沙盘之路

OpenSandboxiePath——沙盘之路


声明:本文属ubuntu原创,首发于卡饭HIPS版,转贴请保留作者和出处,严禁用于商业用途。



前言

红豆的沙
我用沙盘主要是防入口,防泄露
偶尔测试一下新软件,或者偶偶尔欺负一下病毒 :)
前面主要讲安全浏览+U盘,不是做绿色或者沙盘化软件
如果,你不感兴趣,最好略过不看,不想浪费你的时间
后面讲配置文件,还是最好看看,应该有点帮助。
如果,你连看都不想看,还想用沙盘
那好,我把配置文件给你拷贝一下
很简单,什么也不用管,直接用


完整的菜单、操作,已经有教程,我不会再讲一遍。
我是从实战出发,用实例来讲述对沙盘的控制,
主要是一个特定沙盘思路和想法是如何实现的,
顺带讲一下具体操作和菜单。

尽量让所有人(包括没有用过沙盘的)都有所收获,

希望看过以后,每个人都能找到适合自己的沙盘之路。




初遇

有没有缘分,第一眼很重要
关于Sandboxie,我能给你的第一印象就是下面两张图。
如果,你有一见钟情、相见恨晚的感觉,那么继续往下看。



Sandboxie 在一个被成为沙盘的隔离保护区运行您的程序(黄色方块)
沙盘中的程序不允许更改或危害您的计算机(倒沙,红色被清除)


一切都有个开始
沙盘也不例外


下载:http://www.sandboxie.com/SandboxieInstall.exe
注册:自己动手搜索
安装的版本目前是 3.34

中文化:
安装时选择中文
安装完成以后,托盘右键退出Sandboxie 控制
用下面文件替换安装目录里的文件
bbs.kafan.cn/thread-401800-1-3.html
重新启动Sandboxie 控制

备份配置文件:
C:\Windows\Sandboxie.ini 保存到一个安全的地方

安装完成会生成一个托盘图标和一个快捷方式"在沙盘中运行网页浏览器"
我们用这个快捷方式在沙盘中运行浏览器,假设系统默认浏览器是IE




邂逅

现在用这个快捷方式启动浏览器,如图:



因为iexplore.exe 在沙盘里运行,沙盘 DefaultBox 处于激活状态
[#]标志 表示程序处于沙盘的监控下

现在,按照平时的使用习惯,浏览常用网站,登陆论坛、填写表单。。。
一段时间以后,退出沙盘,用Sandboxie 控制 DefaultBox 删除保存内容(倒沙)

再次打开IE,发现输入过的网址、Cookies、历史、表单、密码,Internet临时文件,都没有被保存

这是Sandboxie一个实战运用的例子:隐私浏览
一旦退出浏览器,Sandboxie会清除所有上网痕迹,保护用户的隐私

每次,都手动倒沙是不是很累?

Sandboxie 提供了人性化的设置,自动倒沙,如图设置
沙盘设置 --> 删除调用 --> 勾选自动删除沙盘中保存的内容




=============================================================================================


在进行下一个实例前,先熟悉一下常用菜单

托盘右键菜单

最重要的是 终止所有程序和禁用强制运行程序,因为作用于所有沙盘
Sandboxie的注册版是可以建立多个沙盘
沙盘与真实系统隔离,各个沙盘之间也相互隔离




=============================================================================================


DefaultBox子菜单
具体到特定的沙盘,上半部分是运行相关,下半部分是沙盘内程序和内容相关




=============================================================================================


沙盘右键菜单

和上面类似,多出了沙盘设置、重命名沙盘、移除沙盘
最重要的是沙盘设置,几乎所有和沙盘相关的设置都在这里



另外,在初次使用沙盘以后,会看到很多提示消息
如果,看明白了,以后,不想再看到这个提示
勾选,以后不显示此消息
注:没有特别说明的话,所有程序都是在沙盘中运行。




重逢

上网下载文件,是很常见的。
假设下载目录,放在非系统盘,比如:F:\Downloads\ 或者 F:\下载\
这样以后重装、恢复系统,下载文件不会受到影响。
再次在沙盘里打开IE,输入:www.sandboxie.com
转到Download页面,下载Sandboxie 至 F:\Downloads\
http://www.sandboxie.com/SandboxieInstall.exe
下载完成,退出IE

现在打开F:\Downloads\,没有SandboxieInstall.exe这个文件,这就有麻烦了
自动倒沙将泥沙、珠玉统统倒掉

珠玉还是要的,再次用IE下载文件SandboxieInstall.exe
沙盘 DefaultBox,右键 浏览保存内容
在这个目录:C:\Sandbox\用户名\DefaultBox\drive\F\Downloads\
将SandboxieInstall.exe 复制到真实的系统 F:\Downloads\

可以看到,沙盘对文件创建进行重定向,沙盘里的文件操作不会影响真实系统
F:\Downloads\ --> C:\Sandbox\用户名\DefaultBox\drive\F\Downloads\
这样保护了系统安全,但是给下载带来了不便
中间,加入了一个恢复文件的步骤


为了方便用户,沙盘加入了一个精巧设计,快速恢复、立即恢复

在沙盘中运行IE,这次将下载文件保存到桌面上
Sandboxie在下载完成以后,会提示,只要选择恢复到相同文件夹
下载文件被恢复到真实系统,同时可以使用自动倒沙功能



如果,不想看到立即恢复的提示
勾选 在所有沙盘程序停止前不再显示此提示
这样,沙盘只会在结束所有沙盘程序以后,提示恢复文件,不会那么吵

使用或不使用立即恢复,在于自己的选择。


=============================================================================================


沙盘设置 --> 恢复 --> 快速恢复
快速恢复,将沙盘内的文件恢复到真实系统:
删除沙盘之前,或当您手动调用快速恢复功能时,将检查以下文件夹中保存的沙盘中的内容。
如果找到可恢复文件,您可以轻松地将它们恢复到沙盘环境以外。

默认的快速恢复目录:
我的文档
收藏夹
桌面
添加文件夹 加入下载目录:F:\Downloads




=============================================================================================


沙盘设置 --> 恢复 --> 立即恢复
立即恢复,是对快速恢复的增强,可以在文件创建后自动调用恢复功能




快速恢复可以通过托盘菜单和Sandboxie 控制里右键菜单,恢复文件和添加文件夹


=============================================================================================


还有一种方法恢复文件和添加快速恢复目录
Sandboxie 控制 --> 查看 --> 文件和文件夹 --> 快速恢复文件夹
右键选择文件,恢复到相同文件夹

Sandboxie 控制 --> 查看 --> 文件和文件夹 --> 所有分区和文件夹
分区 F Downloads,右键 将文件夹加入快速恢复
SandboxieInstall.exe,右键,恢复到相同文件夹






以上,通过快速恢复,解决了隐私浏览保护下的,文件下载问题。
用沙盘术语说:快速恢复和自动倒沙




Sandboxie COM 服务程序

沙盘中的程序正常运行需要访问一些重要的系统服务
不过,如果直接允许访问系统服务的话,程序会漏出沙盘,不能起到隔离的作用
所以,沙盘为了程序安全的访问系统服务,提供了沙盘化的系统服务实例
简单说,就是在沙盘里模拟系统服务
沙盘中的程序重定向访问沙盘化的服务程序,使程序正常运行,而不影响安全性

以下是沙盘化服务程序:

RpcSs - Remote Procedure Call (RPC) - SandboxieRpcSs.exe

DcomLaunch - DCOM Server Process Launcher - SandboxieDcomLaunch.exe

CryptSvc - Cryptographic Service - SandboxieCrypto.exe

BITS - Background Intelligent Transfer Service - SandboxieBITS.exe

Wuauserv - Automatic Updates - SandboxieWUAU.exe

EventSystem - COM+ Event System - SandboxieEventSys.exe

MSIServer - Windows Installer - msiexec.exe




安全浏览
Sandboxie 可以将浏览器(包括浏览器启动的子程序,下载的文件)限制在沙盘里,
从而保护真实系统的安全。
如果,有虚拟机的话,可以在沙盘里运行IE,再上一些有毒网站
或者,在沙盘里直接运行病毒程序
自动倒沙以后,系统不会受到影响




沙盘化绿色程序、测试新软件
沙盘还有一方面用处,测试新软件或不熟悉的程序;
将某些程序安装在一个特定设置的沙盘里,形成一个绿色程序
在隔离的环境下运行的程序。




插曲
在进行下面的内容前,休息一下!

英雄要问出处

在用之前,总要介绍一下来历

名称:Sandboxie (沙盘、沙箱、沙盒、Sbie、SB这个缩写囧...)

作者:Ronen Tzur (Tzuk) 非常勤奋、值得尊敬

国家:以色列 最近在打仗,祈祷和平

类别:Sandbox、沙盘、HIPS

特点:很黄不暴力,提示很少

革命履历:2004年参加革命工作,加入伟大的XXX
沙盘名动江湖的绝技是双开游戏
沙盘露脸的方式是和某浏览器捆绑
少数人将沙盘当作安全软件


开着沙盘去各类网站,尤其是毒网、马网、X网

只要倒沙,这个世界清静了,一丝不染

U盘病毒免疫,再牛的U盘病毒,也无法运行

稍微设置一下,上网收敛一些,保证不会被盗号

不想让人看的东东,保证不会被偷偷传到网上
硬盘拿去修理,那是另外一回事

沙盘化软件,保证系统干净
我将沙盘作为红豆沙的一部分
沙盘作先锋,防御国门
毛豆据中央,掌控全局
红伞为利剑,斩妖伏魔

只要简单设置,对一般人足够安全
基本上,入口防御都交给沙盘了
其它,两个软件,大部分时候很悠闲


注:你可以通过右键 在沙盘中运行 将程序置于沙盘的监控中

[ 本帖最后由 ubuntu 于 2009-4-8 04:59 编辑 ]
作者: ubuntu    时间: 2009-1-20 15:56

入口防御 —— 打造安全的浏览器




浏览器使用IE(6/7/8),主要是不需要下载、安装。
其实,我最不熟悉的是IE内核的浏览器,所以嘛讲错了,请多多谅解。
本来,是想讲Opera的,因为稍微知道一些,但是还要下载安装程序,放弃。

Sandboxie 最近一年,尤其是这几个月的更新,
使我认为,Sandboxie 是普通用户现阶段沙盘软件的首选!

几乎不需要设置;
中文化支持;
非常容易注册,使用全功能;
强制运行的增强,可以完全保护U盘;
Sandboxie Control的增强,几乎可以用图形界面完成所有的设置;
DropRights 进一步提高安全性。


入口防御包括浏览器和U盘
其中,浏览器安全是最重要的,
对于我来说,保护浏览器可以防御80%-90%的威胁,甚至更高


下面,我以IE7为例,介绍一下自己在这方面的想法

为了给IE一个安全隔离的环境,需要单独的一个沙盘

Sandboxie 控制 --> 沙盘 -->创建新沙盘 --> IE8、IE7或IE6




=============================================================================================

接下来,沙盘设置 - IE7

外观 --> 在窗口标题中显示沙盘名
出现多沙盘以后,通过沙盘名可以确定IE所在的沙盘




=============================================================================================


快速恢复
添加自己的下载文件夹,例如:F:\Downloads
默认的我的文档、收藏夹、桌面目录,可以根据习惯,保留或删除




=============================================================================================


立即恢复 是否启用,看个人习惯




=============================================================================================


删除 --> 调用 --> 自动删除沙盘中保存的内容




=============================================================================================


程序启动 --> 强制运行程序 --> 添加程序名 --> iexplore.exe
如果IE在沙盘外启动,将强制其在沙盘中运行




=============================================================================================


程序停止 --> 主要程序 --> 添加程序名 --> iexplore.exe

IE是沙盘的主程序,结束IE就会结束沙盘中的所有其它程序




=============================================================================================


限制 --> Internet访问 --> 添加程序名 --> iexplore.exe

IE是沙盘中唯一可以访问网络的程序
极大的提高了反泄露能力,保护隐私




=============================================================================================


限制 --> 启动/运行访问 --> 添加程序名 -->

iexplore.exe
IE是沙盘中唯一可以运行的程序
任何恶意软件无法运行,极大提高系统安全和反泄露能力




=============================================================================================


限制 --> 程序降权 --> 从管理员与超级用户组降权
削去管理员安全特权,还是提高安全性




=============================================================================================


资源访问 --> 文件访问 --> 阻止访问 --> 添加自己的重要、私密文件、目录
限制了所有访问,包括读取,保护个人隐私




经过上面的设置,IE已经有很高的安全性,并且满足日常使用的要求
可以用来访问需要很高安全性要求的网站




下面这些设置会牺牲一些安全性,换取更大的易用性,用于平时上网浏览
你可以新建一个沙盘使用上面的设置,或者直接修改原来的沙盘


如果经常向收藏夹添加网址,建议作如下修改:
应用程序 --> 网页浏览器 --> 允许直接访问 IE 收藏夹


如果要将 IE自动保存的密码、搜索历史、自动填写表单 保存到真实系统(个人不推荐)
应用程序 --> 网页浏览器 --> 允许完全访问受保护的存储和自动完成记录




如果经常下载文件,建议建立一个下载临时目录比如,F:\Downloads\Temp,加入直接访问
临时目录下的文件,确定没有病毒之后,再用资源管理器移动到对应的分类目录,安装程序、文档、图片
、电影。。。,没有确认的继续留在临时目录里,重点监控。

平时上网可能会用IE调用很多程序,比如下载程序(迅雷、快车...),输入法程序(搜狗...),解压软件
(winrar、7-zip),记事本。。。, 可能还需要访问Internet


需要修改以下设置,根据自身情况添加:


限制 --> Internet访问 --> 添加程序名/选择文件 -->

thunder5.exe、pinyinup.exe




=============================================================================================


限制 --> 启动/运行访问 --> 添加程序名 -->

thunder.exe,thunder5.exe,imeutil.exe,pinyinup.exe,notepad.exe,winrar.exe




=============================================================================================


保存对输入法设置的更改
资源访问 --> 文件访问 --> 直接访问 --> 编辑/添加 -->

%AppData%\SogouPY\




=============================================================================================


对下载临时目录进行限制,将下载目录加入强制运行
因为下载临时目录里的程序是不安全的,安全的已经被移动到其它目录
为了防止被病毒利用或者自己手痒点击,强制沙盘运行

程序启动 --> 强制运行文件夹



下载临时目录,可以仿照我对IE的设置单独建立一个沙盘,这里不再讲。
经常下载软件的话,下载工具也可以独立建立一个沙盘


浏览器安全,暂时讲完了
下面是IE7 沙盘的配置文件
可以复制到 C:\Windows\Sandboxie.ini里,使用、参考、学习
有些阻止访问文件规则,参照spbic 的EQS网马规则,感谢!



IE7 安全浏览 配置文件

  1. [GlobalSettings]
  2. ProcessGroup=<StartRunAccess_IE7>,iexplore.exe.exe,sandboxiedcomlaunch.exe,sandboxierpcss.exe,sandboxiecrypto.exe,start.exe
  3. ProcessGroup=<InternetAccess_IE7>,iexplore.exe

  5. [IE7]
  6. Enabled=y
  7. ConfigLevel=4
  8. BoxNameTitle=y
  9. BorderColor=#00FFFF,off
  10. RecoverFolder=F:\Downloads
  11. RecoverFolder=%Favorites%
  12. RecoverFolder=%Desktop%
  13. AutoRecover=n
  14. AutoDelete=y
  15. NeverDelete=n
  16. DeleteCommand=%SystemRoot%\System32\cmd.exe /c RMDIR /s /q "%SANDBOX%"
  17. ForceProcess=iexplore.exe
  18. LeaderProcess=iexplore.exe
  19. CopyLimitKb=49152
  20. CopyLimitSilent=y
  21. NotifyInternetAccessDenied=n
  22. NotifyStartRunAccessDenied=n
  23. DropAdminRights=y
  24. ClosedFilePath=!<InternetAccess_IE7>,\Device\RawIp6
  25. ClosedFilePath=!<InternetAccess_IE7>,\Device\Udp6
  26. ClosedFilePath=!<InternetAccess_IE7>,\Device\Tcp6
  27. ClosedFilePath=!<InternetAccess_IE7>,\Device\Ip6
  28. ClosedFilePath=!<InternetAccess_IE7>,\Device\RawIp
  29. ClosedFilePath=!<InternetAccess_IE7>,\Device\Udp
  30. ClosedFilePath=!<InternetAccess_IE7>,\Device\Tcp
  31. ClosedFilePath=!<InternetAccess_IE7>,\Device\Ip
  32. ClosedFilePath=!<InternetAccess_IE7>,\Device\Afd*
  33. ClosedFilePath=E:\重要文件\
  34. ClosedFilePath=E:\系统备份\
  35. ClosedFilePath=*.bat
  36. ClosedFilePath=*.com
  37. ClosedFilePath=*.cmd
  38. ClosedFilePath=*.pif
  39. ClosedFilePath=*.vbs
  40. ClosedFilePath=*.scr
  41. ClosedFilePath=*.hta
  42. ClosedFilePath=*.gho
  43. ClosedFilePath=*\wshom.ocx
  44. ClosedFilePath=*\scrrun.dll
  45. ClosedFilePath=*\msado15.dll
  46. ClosedFilePath=*\msadco.dll
  47. ClosedIpcPath=!<StartRunAccess_IE7>,*
复制代码



=============================================================================================


IE7 普通浏览
  1. [GlobalSettings]
  2. ProcessGroup=<StartRunAccess_IE7>,iexplore.exe,thunder.exe,thunder5.exe,imeutil.exe,pinyinup.exe,notepad.exe,winrar.exe,,sandboxiedcomlaunch.exe,sandboxierpcss.exe,sandboxiecrypto.exe,start.exe
  3. ProcessGroup=<InternetAccess_IE7>,iexplore.exe,thunder5.exe,pinyinup.exe

  5. [IE7]
  6. Enabled=y
  7. ConfigLevel=4
  8. BoxNameTitle=y
  9. BorderColor=#00FFFF,off
  10. RecoverFolder=F:\Downloads
  11. RecoverFolder=%Favorites%
  12. RecoverFolder=%Desktop%
  13. AutoRecover=n
  14. AutoRecoverIgnore=.td.cfg
  15. AutoRecoverIgnore=.td
  16. AutoRecoverIgnore=.jc!
  17. AutoRecoverIgnore=.part
  18. AutoDelete=y
  19. NeverDelete=n
  20. DeleteCommand=%SystemRoot%\System32\cmd.exe /c RMDIR /s /q "%SANDBOX%"
  21. ForceFolder=F:\Downloads\Temp
  22. ForceProcess=iexplore.exe
  23. LingerProcess=pinyinup.exe
  24. LingerProcess=imeutil.exe
  25. LeaderProcess=iexplore.exe
  26. CopyLimitKb=49152
  27. CopyLimitSilent=y
  28. NotifyInternetAccessDenied=n
  29. NotifyStartRunAccessDenied=n
  30. DropAdminRights=y
  31. OpenFilePath=iexplore.exe,%Favorites%\*.url
  32. OpenFilePath=iexplore.exe,%Favorites%\*.ico
  33. OpenFilePath=iexplore.exe,F:\Downloads\Temp\
  34. OpenFilePath=thunder5.exe,F:\Downloads\Temp\
  35. OpenFilePath=thunder5.exe,*\Profiles\history6.dat*
  36. OpenFilePath=<StartRunAccess_IE7>,%AppData%\SogouPY\
  37. ClosedFilePath=!<InternetAccess_IE7>,\Device\RawIp6
  38. ClosedFilePath=!<InternetAccess_IE7>,\Device\Udp6
  39. ClosedFilePath=!<InternetAccess_IE7>,\Device\Tcp6
  40. ClosedFilePath=!<InternetAccess_IE7>,\Device\Ip6
  41. ClosedFilePath=!<InternetAccess_IE7>,\Device\RawIp
  42. ClosedFilePath=!<InternetAccess_IE7>,\Device\Udp
  43. ClosedFilePath=!<InternetAccess_IE7>,\Device\Tcp
  44. ClosedFilePath=!<InternetAccess_IE7>,\Device\Ip
  45. ClosedFilePath=!<InternetAccess_IE7>,\Device\Afd*
  46. ClosedFilePath=E:\重要文件\
  47. ClosedFilePath=E:\系统备份\
  48. ClosedFilePath=*.bat
  49. ClosedFilePath=*.com
  50. ClosedFilePath=*.cmd
  51. ClosedFilePath=*.pif
  52. ClosedFilePath=*.vbs
  53. ClosedFilePath=*.scr
  54. ClosedFilePath=*.hta
  55. ClosedFilePath=*.gho
  56. ClosedFilePath=*\wshom.ocx
  57. ClosedFilePath=*\scrrun.dll
  58. ClosedFilePath=*\msado15.dll
  59. ClosedFilePath=*\msadco.dll
  60. OpenIpcPath=,*\BaseNamedObjects*\mem_user_dict*
  61. ClosedIpcPath=!<StartRunAccess_IE7>,*
复制代码





休息时间

其实对于隔离程序访问网络进行限制,在GeSWall也可以看到
将Network设置为 Confidential
这样任何隔离程序访问网络,必须添加程序规则

GeSWall 2.8.3 还可以限制信任程序访问网络
将Network设置为 Restricted for Trusted
这样隔离程序和信任程序访问网络都必须添加程序规则

[ 本帖最后由 ubuntu 于 2009-4-8 05:10 编辑 ]
作者: ubuntu    时间: 2009-1-20 15:58

入口防御 ——U盘防御



以U盘为代表的移动存储设备,是病毒利用AutoRun来感染系统的入口

沙盘完全可以防御任何来自U盘的威胁

用我的沙盘规则去防御U盘病毒,需要符合以下要求:
1. 不需要或禁止在U盘运行任何程序;
2. 不在资源管理器中双击直接编辑U盘上的文档
3. 我要防的就是自动运行和用户不慎点击运行U盘病毒
至于编辑文档的安全,杀软完全可以搞定;不行的话,换杀软


Sandboxie 控制 --> 沙盘 -->创建新沙盘 --> USBDisk




=============================================================================================


沙盘设置 - USBDisk

程序启动 --> 强制运行文件夹 --> 添加文件夹 U盘,例设 J:\
BT点的话,可以将除硬盘和光驱外所有的盘符加进去:A:\、B:\、J:\ —— Z:\




=============================================================================================


限制 --> Internet访问 --> 拦截所有程序,没有程序可访问Internet




=============================================================================================


限制 --> 启动/运行访问 --> (无),没有程序可以启动、运行




=============================================================================================


限制 --> 程序降权 --> 从管理员与超级用户组降权




=============================================================================================


资源访问 --> IPC访问 --> 阻止访问 IPC --> 添加 *   应用到所有程序




=============================================================================================


以上是主要设置
下面是一些枝节,可选设置

外观 --> 在窗口标题中显示沙盘名




=============================================================================================


恢复 --> 快速恢复 --> 清空




=============================================================================================


恢复 --> 立即恢复 --> 不启用




=============================================================================================


删除 --> 调用 --> 自动删除沙盘中保存的内容




=============================================================================================


程序停止 --> 驻留程序 --> 清空




=============================================================================================


文件迁移 改小点吧 4096KB




=============================================================================================


USBDisk 配置文件

  1. [USBDisk]
  2. Enabled=y
  3. ConfigLevel=4
  4. BoxNameTitle=y
  5. BorderColor=#00FFFF,off
  6. AutoDelete=y
  7. NeverDelete=n
  8. DeleteCommand=%SystemRoot%\System32\cmd.exe /c RMDIR /s /q "%SANDBOX%"
  9. ForceFolder=J:\
  10. CopyLimitKb=4096
  11. CopyLimitSilent=y
  12. NotifyInternetAccessDenied=n
  13. NotifyStartRunAccessDenied=n
  14. DropAdminRights=y
  15. ClosedFilePath=\Device\RawIp6
  16. ClosedFilePath=\Device\Udp6
  17. ClosedFilePath=\Device\Tcp6
  18. ClosedFilePath=\Device\Ip6
  19. ClosedFilePath=\Device\RawIp
  20. ClosedFilePath=\Device\Udp
  21. ClosedFilePath=\Device\Tcp
  22. ClosedFilePath=\Device\Ip
  23. ClosedFilePath=\Device\Afd*
  24. ClosedIpcPath=*
复制代码





面向初、中级入口防御到此结束
下面是沙盘设置和Sandboxie.ini配置文件,属于高级部分

注意:导入设置时,注意按照自己的情况调整U盘和下载目录。

[ 本帖最后由 ubuntu 于 2009-3-1 03:10 编辑 ]
作者: ubuntu    时间: 2009-1-20 16:01

沙盘尽在掌握 ——沙盘设置和Sandboxie.ini




设置沙盘可以通过Sandboxie 控制 沙盘设置编辑Sandboxie.ini两种方式实现
一般用户推荐用沙盘设置的方式,关于Sandboxie.ini可以跳过不看,或者稍微了解一下

Sandbox Settings和Sandboxie.ini 是设置Sandboxie的两种方式。

Sandboxie.ini 是Sandboxie的配置文件,通过编辑Sandboxie.ini可以控制沙盘中程序的行为
一个自定义的Sandboxie.ini可以提供更高的安全保护。
Sandbox Settings是Sandboxie.ini的图形前端,最近更新的版本强化了Sandbox Settings
基本上可以完成所有的Sandboxie.ini设置。
实际上,Sandbox Settings最终还是通过修改Sandboxie.ini来完成设置工作。

Sandbox Settings 图形界面,老少皆宜,Sandboxie.ini 适合老手。

要完全控制Sandboxie,Sandboxie.ini是最直接有效的。

下面就要讲Sandboxie.ini,为了便于理解,我用Sandboxie Control 进行对照。
拆解Sandbox Settings每个设置与Sandboxie.ini之间的对应关系。


Sandboxie.ini保存位置

Sandboxie.ini 搜索顺序:1. Windows目录,C:\Windows\Sandboxie.ini ,这是安装以后生成的
2. Sandboxie的安装目录 C:\Program Files\Sandboxie\Sandboxie.ini
如果在1搜索到,读取设置,位置2就被忽略了。
如果将Sandboxie.ini剪切到位置2,手动重新载入设置,以后配置文件就保存到Sandboxie的安装目录。

老手建议使用位置2

注:如果是通过编辑配置文件来修改Sandboxie.ini,保存设置,退出编辑器以后,会自动调用重新载入配置;
如果是覆盖原来的Sandboxie.ini配置文件,需要手动重新载入配置
新的配置文件对沙盘中已经运行的程序无效,必须退出程序,重新运行,应用新配置。
修改Sandboxie.ini之后,最好终止所有沙盘程序,再重新启动。


我现在打开安装以后的Sandboxie.ini,然后通过不断加入新的设置项来解读Sandboxie的设置。
大部分是我自己的设置,某些例子是取自官网帮助。

默认的设置文件大致如下:
  1. [GlobalSettings]

  3. [DefaultBox]

  5. Enabled=y
  6. ConfigLevel=4
  7. AutoRecover=y
  8. AutoRecoverIgnore=.jc!
  9. AutoRecoverIgnore=.part
  10. RecoverFolder=%Personal%
  11. RecoverFolder=%Favorites%
  12. RecoverFolder=%Desktop%
  13. LingerProcess=syncor.exe
  14. LingerProcess=jusched.exe
  15. LingerProcess=acrord32.exe

  17. [UserSettings_125202A4]
  18. SbieCtrl_UserName=username
  19. SbieCtrl_ShowWelcome=N
  20. SbieCtrl_ReSyncContextMenu=N
  21. SbieCtrl_NextUpdateCheck=1231812532
  22. SbieCtrl_UpdateCheckNotify=Y
  23. SbieCtrl_BoxExpandedView_DefaultBox=Y
复制代码



Sandboxie.ini 的文件结构

[GlobalSettings]
全局设置
这里的设置会影响所有的Sandbox、所有用户
默认这里是空的

[DefaultBox]
沙盘 DefaultBox的配置信息,只能作用于这个沙盘。
注:沙盘名由字母和数字组成,最大长度32个字符。

[UserSettings_125202A4]
用户的个人配置,对安全没有影响。主要是Sandboxie 控制里的用户、外观、升级、和Shell集成、是否随机启动
不做讲解。以后在配置文件里从略。


基本语法

在Sandboxie中程序名是文件名,不包括完整路径

iexplore.exe - 正确
C:\Program Files\Internet Explorer\iexplore.exe - 错误

程序和操作对象之间用逗号 , 分开

! 代表除...之外, 逻辑非

OpenFilePath=iexplore.exe,%Favorites%
ClosedFilePath=!iexplore.exe,%Favorites%

OpenFilePath=iexplore.exe,%Favorites%
允许IE直接访问收藏夹目录
%Favorites% 表示收藏夹,环境变量

ClosedFilePath=!iexplore.exe,%Favorites%
阻止IE以外的其它程序直接访问收藏夹

组合在一起,就是只允许IE直接访问收藏夹
阻止任何其它程序访问收藏夹,包括读取



[DefaultBox]
OpenFilePath=C:\Downloads\
OpenFilePath=*.eml
OpenFilePath=iexplore.exe,%Favorites%
OpenFilePath=msimn.exe,*.eml

OpenFilePath=C:\Downloads\
前面没有特定程序,表示所有程序
C:\Downloads\   注意一定要加最后的反斜杠,Sandboxie在解释时会自动转换为C:\Downloads\*
自动加入*通配符,表示C:\Downloads 目录下和所有子目录下的文件

OpenFilePath=*.eml
表示扩展名为eml的所有文件

OpenFilePath=iexplore.exe,%Favorites%
允许IE直接访问收藏夹目录
%Favorites% 表示收藏夹,环境变量

OpenFilePath=msimn.exe,*.eml
允许Outlook 直接访问任何 eml文件




沙盘设置拆解

为了便于讲解,不影响DefaultBox,也为了安全的需要,我们创建一个新沙盘,取名Firefox。
前面已经讲过IE了,现在换一个,Firefox 3.xx。

再看一个配置文件:
  1. [Firefox]

  3. Enabled=y
  4. ConfigLevel=4
  5. AutoRecover=y
  6. AutoRecoverIgnore=.jc!
  7. AutoRecoverIgnore=.part
  8. RecoverFolder=%Personal%
  9. RecoverFolder=%Favorites%
  10. RecoverFolder=%Desktop%
  11. LingerProcess=syncor.exe
  12. LingerProcess=jusched.exe
  13. LingerProcess=acrord32.exe
复制代码
[Firefox]
代表沙盘Firefox

Enabled=y
表示允许在这个沙盘运行程序
Enabled=n
表示禁止在这个沙盘运行程序

ConfigLevel=4
ConfigLevel 这个设置在3以后的版本已经废弃了,不用管它,保持默认。



打开沙盘设置 - Firefox,由上至下

外观 Appearance

BoxNameTitle=-
不在标题栏显示沙盘标志
BoxNameTitle=y
在标题栏显示沙盘名
BoxNameTitle=n
在标题栏不显示沙盘名

环绕边框
BorderColor=#00FFFF
显示一个黄色的环绕边框
BorderColor=#00FFFF,off
不显示环绕边框

3.34版,颜色使用的16进制HTML-RGB格式,从左至右依次是绿
貌似是bug,正常顺序是红、绿、蓝

很特殊,边框颜色的修改是即时生效的。




=============================================================================================


恢复 Recover

RecoverFolder=%Personal%
RecoverFolder=%Favorites%
RecoverFolder=%Desktop%
快速恢复目录
%Personal% 我的文档目录
%Favorites% 收藏夹目录
%Desktop% 桌面




AutoRecover=y
表示启用立即恢复
AutoRecover=n
表示禁用立即恢复

AutoRecoverIgnore=.jc!
AutoRecoverIgnore=.part
表示立即恢复功能排除扩展名为.jc!、.part的文件




=============================================================================================


删除 Delete

AutoDelete=y
NeverDelete=n
当沙盘里没有程序运行,自动删除沙盘里的内容
如果沙盘中存在可恢复文件,在删除前会自动调用快速恢复

AutoDelete=n
NeverDelete=y
禁止移除沙盘或删除沙盘里的内容




=============================================================================================


DeleteCommand=%SystemRoot%\System32\cmd.exe /c RMDIR /s /q "%SANDBOX%"
手动或自动删除沙盘文件所调用的系统命令 RMDIR
如果留空,默认系统命令是 RMDIR (删除目录)
%SANDBOX%" 表示沙盘目录
SDelete 和 Eraserl 是需要下载安装的第三方安全删除文件工具




=============================================================================================


程序启动 Program Start
设置强制在沙盘里运行的程序


强制运行文件夹 Forced Folders
强制运行文件夹,目录下的所有程序,一旦在沙盘外启动,都会被强行拖进沙盘运行
如果其已在其它沙盘里运行,则不适用此项
如果是非可执行文件,那么和它关联的程序将被拖进沙盘
例如,强制运行目录,双击一个txt文件,记事本就会进入沙盘

我们可以将U盘(假设是:J:\)加入强制运行目录,这样无论是打开U盘文件,还是运行U盘程序
都是在沙盘中,不会影响真实系统,这样可以防U盘病毒,保证系统安全
ForceFolder=J:\

Forced Folders 优先级高于 Forced Programs




=============================================================================================


强制运行程序 Forced Programs
强制运行程序,一旦程序在沙盘外启动,就会被强制拖入沙盘里运行
如果其已在其它沙盘里运行,则不适用此项
通常,我们会将浏览器等病毒入口程序加入到Forced Programs

注意程序名使用的是文件名,而不是完整路径
例如 IE
正确:iexplore.exe
错误:C:\Program Files\Internet Explorer\iexplore.exe
ForceProcess=iexplore.exe

例如 Firefox
正确:firefox.exe
错误:C:\Program Files\Mozilla Firefox\firefox.exe
ForceProcess=firefox.exe

Forced Programs 优先级低于 Forced Folders




=============================================================================================


程序停止 Program Stop
设置沙盘自动终止的驻留程序

驻留程序 Lingering Programs
沙盘里的程序启动一个新程序(子程序),新程序会在相同沙盘里运行
当主程序退出以后,子程序不一定会自动退出
比如:用IE去查看一个PDF文件,Adobe Reander(acrord32.exe)在IE结束以后,还会继续存在,不自动退出。
用搜狗拼音时,imeutil.exe、pinyinup.exe,也不会自动退出
我们将pinyinup.exe 加入 Lingering Programs
如果沙盘里只剩下以上程序,沙盘会自动结束其进程

LingerProcess=imeutil.exe
搜狗拼音输入法 辅助工具,不使用搜狗可以删掉

LingerProcess=pinyinup.exe
搜狗拼音输入法 升级工具,不使用搜狗可以删掉

LingerProcess=syncor.exe
顶星声卡驱动相关,其它声卡的可以删掉

LingerProcess=jusched.exe
Java自动更新程序,不用Java的可以删掉

LingerProcess=acrord32.exe
Adobe Reader 的进程,使用其它PDF阅读程序的,可以删掉

如果驻留程序是直接运行,而不是其它程序调用运行,那么驻留程序设置不起作用




=============================================================================================


主要程序 Leader Programs
一旦主要程序退出,沙盘里的其它程序全部终止
这样做,简化设置,不用写一堆LingerProcess,直接一条LeaderProcess 搞定
比如说:设置Firefox是Leader Programs ,IE退出,其它程序就结束运行

LeaderProcess=firefox.exe




=============================================================================================


文件迁移 File Migration Settings
文件迁移设置
默认,沙盘里的程序是不能直接修改系统文件,修改的是沙盘里的替身
先要从真实系统复制一个一模一样的文件到沙盘里,这个过程就是迁移
如果迁移一个过大的文件,比如好几G的文件,这样会影响效率,浪费时间,浪费空间
所以,要给迁移的文件大小,设置一个上限
超过这个上限,文件就不会复制到沙盘里,不能修改(只读),并且会弹出一个提示
默认上限是49152KB,48MB,已经足够大,常用的网络程序不会迁移这么大的文件

CopyLimitKb=49152
CopyLimitSilent=y
当文件超过迁移上限,不弹出提示
CopyLimitSilent=n
当文件超过迁移上限,弹出提示

对于迁移文件,常见的错误理解
1.超过迁移文件上限,会直接修改真实系统的文件
完全错误,超过迁移上限的文件,是只读访问,不能被修改,并且不会复制到沙盘里

2.超过迁移上限的下载文件,会直接建立在真实系统或者不能完成下载
完全错误,迁移是将系统中已有的文件复制到沙盘里,在沙盘中修改
下载是在沙盘里建立系统原来没有的新文件
迁移上限只对系统已有文件迁移进入沙盘起作用
对于沙盘程序新建立的新文件,没有大小限制
哪怕是1M的上限,下载1G的文件,只要硬盘空间足够大,完全没有问题

如果,你将浏览器迁移上限设置成几百M或者几G,说明你对迁移上限的理解有误。




=============================================================================================


限制 Restrictions

沙盘对于来自外部的攻击,具有非常强的防御能力。
默认设置,不调整规则的话,只要浏览器是在沙盘里运行,不论是什么挂马、一般0day,这个洞,那个洞,只要结束浏览器进程,清空沙盘,就OK,不影响真实系统。

对于信息泄露,由内到外,沙盘的默认规则是不够的。要借助第三方防火墙。
这就是为什么,GeSWall、DefenseWall在新版都要加入类似于防火墙的功能,对程序联网进行控制。这样,在网络部分,直接用系统自带的防火墙防外,沙盘防火墙防内。

Sandboxie的Restrictions,提供了网络访问控制(类似应用程序防火墙 ND),运行控制,进程间通讯控制
,驱动、全局钩子、模拟键盘鼠标 (AD),降低用户权限(SD)

通过设置Restrictions,完善规则,可以极大提高沙盘的安全性,特别是对隐私信息的保护

以上这些主要是通过策略限制来实现的。
沙盘的本质在隔离,创建一个不影响真实系统的测试环境
重定向、虚拟化、策略限制都只是手段而已,看你如何运用。

下面看,具体设置:

Internet 访问 Internet Access
提供一个网络访问的白名单,只允许白名单里的程序访问网络,其它程序禁止访问网络,类似应用程序防火墙功能。
实际上,白名单反映到设置文件上就是建立一个程序组,只允许该组成员访问网络。

在Internet Access 加入Firefox
会在全局设置 [GlobalSettings] 加入一个程序组,组名<InternetAccess_Firefox>,这个组只有一个组成员

firefox.exe

ProcessGroup=<InternetAccess_Firefox>,firefox.exe

然后在 [Firefox]里加入一段:

ClosedFilePath=!<InternetAccess_Firefox>,\Device\RawIp6
ClosedFilePath=!<InternetAccess_Firefox>,\Device\Udp6
ClosedFilePath=!<InternetAccess_Firefox>,\Device\Tcp6
ClosedFilePath=!<InternetAccess_Firefox>,\Device\Ip6
ClosedFilePath=!<InternetAccess_Firefox>,\Device\RawIp
ClosedFilePath=!<InternetAccess_Firefox>,\Device\Udp
ClosedFilePath=!<InternetAccess_Firefox>,\Device\Tcp
ClosedFilePath=!<InternetAccess_Firefox>,\Device\Ip
ClosedFilePath=!<InternetAccess_Firefox>,\Device\Afd*


<InternetAccess_Firefox>   沙盘Firefox 网络访问白名单
!<InternetAccess_Firefox>  沙盘Firefox 网络访问黑名单

阻止组<InternetAccess_Firefox>(也就是firefox.exe)以外的程序访问这些特殊的系统网络设备
换句话,只允许组<InternetAccess_Firefox>(也就是firefox.exe)访问网络
! 代表非,!<InternetAccess_Firefox>,代表除了<InternetAccess_Firefox>以外的其它程序
举个通俗例子:!<男人>,代表女人+; !<女人>代表男人+; !<男人,女人>,代表特殊人群
ClosedFilePath 后面再讲。

NotifyInternetAccessDenied=n
阻止程序访问网络以后不通知用户
NotifyInternetAccessDenied=y
阻止程序访问网络以后通知用户




=============================================================================================


启动/运行访问 Start/Run Access
通过建立一个白名单,只允许特定的程序运行,阻止其它程序运行。
实际上,白名单反映到设置文件上就是建立一个程序组,只允许该组成员运行

在Start/Run Access 加入Firefox
会在全局设置 [GlobalSettings] 加入一个程序组,组名<StartRunAccess_Firefox>
这个组只有一个组成员 firefox.exe

ProcessGroup=<StartRunAccess_Firefox>,firefox.exe

然后在 [Firefox]里加入
ClosedIpcPath=!<StartRunAccess_Firefox>,*

阻止组<StartRunAccess_Firefox>(也就是firefox.exe)以外的程序访问任何IPC对象,结果就是禁止运行。
换句话,只允许组<StartRunAccess_Firefox>(也就是firefox.exe)运行


<StartRunAccess_Firefox>   沙盘Firefox 启动/运行白名单
!<StartRunAccess_Firefox>  沙盘Firefox 启动/运行黑名单


NotifyStartRunAccessDenied=n
阻止程序运行以后不通知用户
NotifyStartRunAccessDenied=y
阻止程序运行以后通知用户

ClosedIpcPath 后面再讲,*代表所有IPC对象



这样Firefox沙盘里只有Firefox进程可以访问网络和运行,访问有网马和漏洞的网站
网马运行不起来,keylogger程序也无法运行,隐私信息不会泄露。
目前,GeSWall 2.8.3 是沙盘里防信息泄露最强悍的,甚至超过了几乎所有各类HIPS
OnlineArmor 除外,OnlineArmor 3.1 Beta 收费版是所有HIPS里防信息泄露最强的

Sandboxie 的防键盘记录、屏幕记录、剪切板记录 没有什么改进
Sandboxie 可以防御,安装Windows 钩子或者驱动来记录键盘输入
对于AKLT 之类的高级键盘记录,几乎没有防御能力

不过,Sandboxie 使用另外一种办法来保护隐私泄露
很简单有效,就是白名单,除了白名单程序,禁止连网,禁止运行,再加上自动倒沙

举个例子
进行网上交易前,终止所有沙盘程序,清空有可能带来病毒的沙盘内容
在设置好白名单的沙盘里,运行IE,当然之前,要保证IE加载的插件是干净的
因为有白名单,病毒、键盘记录程序是无法运行的,根本无法记录密码
因为有自动倒沙,结束IE之后,下次运行,依然是一个干净的环境
安全没有100%,但是只要你学会规范使用沙盘,你的隐私、密码保护可以接近100%

因为还有其它的键盘记录的方式,比如跨域脚本(XSS),所有HIPS都防不了,包括沙盘
防御XSS,使用一个安全的浏览器是很重要的,IE核心,我只会用TheWorld
非IE核心,我认为,Opera的安全性强于Firefox
不过,由于有NoScript这种BT扩展的存在,情况可能会不一样
所以,如果你使用Firefox,一定要安装NoScript这个BT扩展,对于防御XSS是非常有效的


=============================================================================================


程序降权 DropRights
降低用户权限,将管理员、Power Users 用户特权移除
DropAdminRights=y
沙盘中的程序以普通用户权限运行




=============================================================================================


底层访问 Low-level Access
底层权限,默认都是阻止的,允许的话会降低沙盘安全性。

BlockDrivers=y
阻止加载驱动
BlockDrivers=n
允许加载驱动,不是安装新驱动
加载驱动和安装新驱动是两回事

BlockWinHooks=y
阻止安装全局钩子
BlockWinHooks=n
允许安装全局钩子

BlockFakeInput=y
阻止模拟键盘鼠标输入
BlockFakeInput=n
允许模拟键盘鼠标输入




=============================================================================================


资源访问 Resource Access
默认沙盘里的程序不能直接访问系统资源,这里可以设置一些例外规则
例如:
可以让浏览器或下载软件直接访问下载目录
可能通过允许访问某些特殊类型资源,解决冲突问题

文件访问 File Access、注册表访问 Registry Access、IPC 访问 IPC Access
窗口访问 Window Access、COM访问 COM Access





文件访问 File Access



直接访问 Direct Acces
直接修改指定的目录或文件
对沙盘里安装的程序无效

OpenFilePath

例如:

OpenFilePath=firefox.exe,F:\Downloads\Temp\




=============================================================================================


OpenFilePath=thunder5.exe,F:\Downloads\Temp\




=============================================================================================


OpenFilePath=<StartRunAccess_Firefox>,%AppData%\SogouPY\




=============================================================================================


完全访问 Full Access
和Direct Acces相似,但是对程序不限制,沙盘里的程序也有效

安全性低于Direct Acces
直接访问能解决问题的地方,就不需要使用完全访问。

还有一个不同,Full Access可以访问命名管道

OpenPipePath

例如:
OpenPipePath=%AppData%\SogouPY\

OpenPipePath=\Device\NamedPipe\wkssvc
OpenPipePath=\Device\NamedPipe\srvsvc
允许沙盘中的程序通过 wkssvc和srvsvc 管理网络共享和用户账户





=============================================================================================


阻止访问 Blocked Access
阻止对文件资源的访问,包括读取、修改
优先级高于其它文件资源访问规则

ClosedFilePath

例如:
ClosedFilePath=C:\boot.ini
ClosedFilePath=C:\bootfont.bin




=============================================================================================


ClosedFilePath=!<InternetAccess_Firefox>,\Device\RawIp6
ClosedFilePath=!<InternetAccess_Firefox>,\Device\Udp6
ClosedFilePath=!<InternetAccess_Firefox>,\Device\Tcp6
ClosedFilePath=!<InternetAccess_Firefox>,\Device\Ip6
ClosedFilePath=!<InternetAccess_Firefox>,\Device\RawIp
ClosedFilePath=!<InternetAccess_Firefox>,\Device\Udp
ClosedFilePath=!<InternetAccess_Firefox>,\Device\Tcp
ClosedFilePath=!<InternetAccess_Firefox>,\Device\Ip
ClosedFilePath=!<InternetAccess_Firefox>,\Device\Afd*




=============================================================================================


ClosedFilePath=!<StartRunAccess_Firefox>,*




=============================================================================================


只读访问 Read-Only Access
直接读取真实系统文件,不允许修改,没有沙盘重定向

ReadFilePath

例如:
ReadFilePath=C:\Program Files\Avira\




=============================================================================================


注册表访问 Registry Access

直接访问 Direct Access
直接修改系统注册表,对于安装在沙盘里的程序无效
出于安全考虑,注册表访问没有完全访问

OpenKeyPath

例如:
OpenKeyPath=firefox.exe,HKEY_LOCAL_MACHINE\Software\Mozilla
OpenKeyPath=firefox.exe,HKEY_CURRENT_USER\Software\Mozilla




=============================================================================================


阻止访问 Blocked Access
阻止对注册表的一切访问
高优先级

ClosedKeyPath

例如:
ClosedKeyPath=HKEY_LOCAL_MACHINE\System\Comodo*




=============================================================================================


ClosedKeyPath=!<StartRunAccess_Firefox>,*




=============================================================================================


只读访问 Read-Only Access

ReadKeyPath

例如:
ReadKeyPath=HKEY_LOCAL_MACHINE\SOFTWARE\Policies




=============================================================================================


IPC 访问 IPC Access
NT IPC对象 Windows的进程(线程)间通信所建立的对象

Sandboxie 的IPC 对象包括
事件对象 Event
互斥对象 Mutant
共享内存区对象 Section
信标对象 Semaphore
LPC 端口对象 Port

具体什么是Sandboxie里的IPC对象,可以通过Sandboxie 控制 文件 资源访问监控 看到
通常是 \BaseNamedObjects、\RPC Control

注:命名管道(Named Pipe) 要设置文件资源完全访问 (OpenPipePath)

允许直接访问IPC对象,使沙盘内程序可以直接访问沙盘外程序所提供的资源和服务
会降低沙盘的安全性,使程序的某些行为,不再被沙盘监控,不推荐使用
除非是为了解决程序和Sandboxie冲突,必须允许对某些IPC对象的直接访问。


=============================================================================================


直接访问 Direct Access
允许所有程序访问NT IPC对象,包括沙盘内下载、安装的程序

OpenIpcPath

例如(翻译:baerzake):
OpenIpcPath=\RPC Control\!IcaApi
OpenIpcPath=\RPC Control\seclogon

第一个例子 OpenIpcPath=\RPC Control\!IcaApi 就是允许访问终端服务子系统所提供的资源。能让沙盘中程序与此子系统对话并且发现活动在系统中的其他终端服务。但是允许访问这个资源同时也会被恶意程序利用来终止沙盘外的程序。

第二个例子是允许访问\RPC Control\seclogon。这个是指允许访问WINDOWS Run As 服务所提供的资源。它能让沙盘中的程序调用运行另一个使用不同用户证书的程序。并且,这个被调用的程序会在沙盘外被执行,不受沙盘控制。




=============================================================================================


阻止访问 Blocked Access
阻止对IPC对象的访问,优先级高于直接访问

Sandboxie 对于一些常用的系统IPC对象,进行了例外处理
阻止访问IPC 可以用来彻底阻止这种类型的例外
阻止访问IPC 还可以用来只允许特定程序启动、运行或者阻止所有程序启动、运行

ClosedIpcPath

例如:
ClosedIpcPath=!<StartRunAccess_IE7>,*
ClosedIpcPath=!<StartRunAccess_Firefox>,*
ClosedIpcPath=*




=============================================================================================


窗口访问 Windows Access

通常Sandboxie不允许沙盘内程序访问、通信、关闭或销毁沙盘外的窗口
窗口访问就是为了设置例外规则
目的还是为了解决冲突
窗口名window class name,可以用资源访问监控来获取

OpenWinClass

例如:
OpenWinClass=ConsoleWindowClass
OpenWinClass=ATL:*
OpenWinClass=*




=============================================================================================


COM访问 COM Access

沙盘内的程序默认是不能访问沙盘外程序提供的COM组件服务
允许访问特定的COM组件,也是为了解决在使用中的问题,提供例外设置
COM 是有可能造成信息泄露的,比如PCFlank测试

OpenClsid

例如:
OpenClsid={D713F357-7920-4B91-9EB6-49054709EC7A}




=============================================================================================


应用程序 没什么好讲的
主要是按照设置,自动生成收藏夹、书签、邮箱的直接访问规则
稍微讲一下受保护的存储和自动完成记录

实际上是一个系统服务 Protected Storage,简称 PStore
是为应用程序的安全保存提供一个接口
保存了一些微软他们家程序的隐密信息,如:
1. Outlook 密码
2. Internet Explorer中自动保存的密码
3. Internet Explorer中有密码保护的网站
4. MSN Explorer浏览器登录账户密码
5. IE自动完成的资料(例如填表时的个人资料、搜索历史)
有像Protected Storage PassView这类密码查看工具存在,是否保存到系统,看个人选择。




=============================================================================================


一些分散在菜单里,沙盘设置里没有或只能用Sandboxie.ini添加的设置项

AlertProcess
全局设置,当任何以下程序在沙盘外启动时,Sandboxie 会发出 SBIE1301 信息
可以在配置菜单,警告提示设置

[GlobalSettings]
AlertProcess=iexplore.exe
AlertProcess=firefox.exe

=============================================================================================

ForceDisableSeconds
禁用强制运行程序的持续时间,默认是10秒
如果设置为0,表示禁止禁用强制运行程序
可以在文件菜单强制运行程序设置
[GlobalSettings]
ForceDisableSeconds=25
ForceDisableSeconds=0

=============================================================================================

ForceDisableAdminOnly
只有管理员帐户才能禁用强制运行程序
[GlobalSettings]
ForceDisableAdminOnly=y

=============================================================================================

EditAdminOnly
普通用户不能修改全局设置和沙盘设置,只能修改用户设置
[GlobalSettings]
EditAdminOnly=y

=============================================================================================

MonitorAdminOnly
只有管理员可以使用 “资源访问监控”
[GlobalSettings]
MonitorAdminOnly=y

=============================================================================================

FileRootPath
用来设置特定沙盘的根目录,默认是C:\Sandbox\%USER%\%SANDBOX%
还可以用在全局设置,为没有指定沙盘根目录的沙盘,设置默认的沙盘根目录
特定沙盘的 FileRootPath 优先级高于 全局设置的 FileRootPath

如果,经常下载大的文件,或者在沙盘安装很多程序
将沙盘根目录放在C盘不合适,放到非系统盘D,会更好
[GlobalSettings]
FileRootPath=D:\Sandbox\%USER%\%SANDBOX%

对于,有些需要自动倒沙的,可以放到C盘,另外,沙盘根目录在C盘默认位置,兼容性最好

[IE7]
FileRootPath=C:\Sandbox\%USER%\%SANDBOX%

[Firefox]
FileRootPath=C:\Sandbox\%USER%\%SANDBOX%

[Opera]
FileRootPath=C:\Sandbox\%USER%\%SANDBOX%

如果使用Ramdisk,可以放到Z盘
[IE7]
FileRootPath=Z:\

如果,测试病毒,不想放到有常用程序的C、D盘
[Virus]
FileRootPath=F:\Sandbox\virus\

[ 本帖最后由 ubuntu 于 2009-1-21 15:55 编辑 ]
作者: ubuntu    时间: 2009-1-20 16:07

一个完整的沙盘设置示例



各个沙盘的用途已经标清楚了,下载临时目录强制到USBDisk里运行
因为防御的办法是一样的




如果经常使用下载软件,可以仿照浏览器设置建立一个单独的沙盘
如果,还有其它入口程序要在沙盘里运行,可以仿照DefaultBox、浏览器和Redirect沙盘建立一个多程序运行的沙盘

从安全和配置演示的角度看,下面的配置文件,在3.34版,堪称简洁、经典、完美。

只要在浏览器 文件访问--直接访问 添加自己的下载目录,在文件访问-- 阻止访问,添加自己的重要目录

在 USBDisk 添加自己的U盘

作为主力浏览器的Opera 允许的比默认规则多,可以根据自己的要求修改Opera直接访问的文件和目录

Firefox更新扩展需要禁用强制运行,在沙盘外更新

如果,你不使用红豆组合,相关的设置可以删除和修改。或者,直接用,也没有影响。


20090301  规则修订:在沙盘 [IE7] 增加对Theworld的支持
20090408  规则修订:在沙盘 [IE7] 移除 ClosedFilePath=*\shell32.dll
20090415  规则修订:支持3.36版新特性(自定义程序设置模版),增加对Chrome(Chromium)、Maxthon2的支持,沙盘[IE7]更名为[IE8]
20090601  规则修订:支持3.38版,增加支持K-Meleon


配置文件 Sandboxie.ini [Sandboxie 3.38版]

  1. [GlobalSettings]

  3. ProcessGroup=<StartRunAccess_IE8>,iexplore.exe,theworld.exe,maxthon.exe,thunder.exe,thunder5.exe,imeutil.exe,pinyinup.exe,notepad.exe,7zfm.exe,winrar.exe,sandboxiedcomlaunch.exe,sandboxierpcss.exe,sandboxiecrypto.exe,start.exe
  4. ProcessGroup=<InternetAccess_IE8>,iexplore.exe,theworld.exe,maxthon.exe,thunder.exe,thunder5.exe,pinyinup.exe
  5. ProcessGroup=<StartRunAccess_Google_Chrome>,chrome.exe,imeutil.exe,pinyinup.exe,sandboxiedcomlaunch.exe,sandboxierpcss.exe,start.exe
  6. ProcessGroup=<InternetAccess_Google_Chrome>,chrome.exe,pinyinup.exe
  7. ProcessGroup=<StartRunAccess_Opera>,opera.exe,edown.exe,flashgot.exe,oget.exe,thunder.exe,thunder5.exe,imeutil.exe,pinyinup.exe,notepad.exe,7zfm.exe,winrar.exe,sandboxiedcomlaunch.exe,sandboxierpcss.exe,start.exe
  8. ProcessGroup=<InternetAccess_Opera>,opera.exe,thunder.exe,thunder5.exe,pinyinup.exe
  9. ProcessGroup=<StartRunAccess_Firefox>,firefox.exe,flashgot.exe,thunder.exe,thunder5.exe,imeutil.exe,pinyinup.exe,notepad.exe,7zfm.exe,winrar.exe,sandboxiedcomlaunch.exe,sandboxierpcss.exe,sandboxiecrypto.exe,start.exe
  10. ProcessGroup=<InternetAccess_Firefox>,firefox.exe,thunder.exe,thunder5.exe,pinyinup.exe
  11. ProcessGroup=<StartRunAccess_KMeleon>,k-meleon.exe,flashgot.exe,oget.exe,thunder.exe,thunder5.exe,imeutil.exe,pinyinup.exe,notepad.exe,7zfm.exe,winrar.exe,sandboxiedcomlaunch.exe,sandboxierpcss.exe,sandboxiecrypto.exe,start.exe
  12. ProcessGroup=<InternetAccess_KMeleon>,k-meleon.exe,thunder.exe,thunder5.exe,pinyinup.exe
  13. BlockDrivers=y
  14. BlockWinHooks=y
  15. BlockFakeInput=y
  16. ForceDisableAdminOnly=y
  17. EditAdminOnly=y
  18. FileRootPath=C:\Sandbox\%USER%\%SANDBOX%
  19. ForceDisableSeconds=60

  21. [DefaultBox]

  23. Enabled=y
  24. ConfigLevel=6
  25. Template=LingerPrograms
  26. Template=Firefox_Phishing_DirectAccess
  27. Template=AutoRecoverIgnore
  28. Template=Lingoes
  29. Template=Local_LingerPrograms
  30. Template=Local_AutoRecoverIgnore_Thunder
  31. BoxNameTitle=y
  32. BorderColor=#00FFFF,off
  33. RecoverFolder=F:\Downloads
  34. RecoverFolder=%Personal%
  35. RecoverFolder=%Favorites%
  36. RecoverFolder=%Desktop%
  37. AutoRecover=y

  39. [IE8]

  41. Enabled=y
  42. ConfigLevel=6
  43. Template=LingerPrograms
  44. Template=AutoRecoverIgnore
  45. Template=Lingoes
  46. Template=IExplore_Force
  47. Template=IExplore_Favorites_RecoverFolder
  48. Template=Maxthon2_Force
  49. Template=Maxthon2_Favorites_DirectAccess
  50. Template=Maxthon2_SharedAccount_DirectAccess
  51. Template=Local_IExplore
  52. Template=Local_Maxthon2
  53. Template=Local_TheWorld
  54. Template=Local_LingerPrograms
  55. Template=Local_AutoRecoverIgnore_Thunder
  56. Template=Local_Thunder_History
  57. Template=Local_ComodoProtected
  58. Template=Local_IEProtected
  59. Template=Local_SystemProtected
  60. BoxNameTitle=y
  61. BorderColor=#00FFFF,off
  62. RecoverFolder=F:\Downloads
  63. RecoverFolder=%Desktop%
  64. AutoRecover=n
  65. AutoDelete=y
  66. NeverDelete=n
  67. DeleteCommand=%SystemRoot%\System32\cmd.exe /c RMDIR /s /q "%SANDBOX%"
  68. LeaderProcess=iexplore.exe
  69. LeaderProcess=theworld.exe
  70. LeaderProcess=maxthon.exe
  71. CopyLimitKb=49152
  72. CopyLimitSilent=y
  73. NotifyInternetAccessDenied=n
  74. NotifyStartRunAccessDenied=n
  75. DropAdminRights=y
  76. OpenFilePath=iexplore.exe,F:\Downloads\Temp\
  77. OpenFilePath=theworld.exe,F:\Downloads\Temp\
  78. OpenFilePath=maxthon.exe,F:\Downloads\Temp\
  79. OpenFilePath=thunder5.exe,F:\Downloads\Temp\
  80. OpenFilePath=<StartRunAccess_IE8>,%AppData%\SogouPY\
  81. ClosedFilePath=E:\重要文件\
  82. ClosedFilePath=E:\系统备份\
  83. ClosedFilePath=!<InternetAccess_IE8>,\Device\RawIp6
  84. ClosedFilePath=!<InternetAccess_IE8>,\Device\Udp6
  85. ClosedFilePath=!<InternetAccess_IE8>,\Device\Tcp6
  86. ClosedFilePath=!<InternetAccess_IE8>,\Device\Ip6
  87. ClosedFilePath=!<InternetAccess_IE8>,\Device\RawIp
  88. ClosedFilePath=!<InternetAccess_IE8>,\Device\Udp
  89. ClosedFilePath=!<InternetAccess_IE8>,\Device\Tcp
  90. ClosedFilePath=!<InternetAccess_IE8>,\Device\Ip
  91. ClosedFilePath=!<InternetAccess_IE8>,\Device\Afd*
  92. OpenIpcPath=<StartRunAccess_IE8>,*\BaseNamedObjects*\mem_user_dict*
  93. ClosedIpcPath=!<StartRunAccess_IE8>,*

  95. [Opera]

  97. Enabled=y
  98. ConfigLevel=6
  99. Template=LingerPrograms
  100. Template=Lingoes
  101. Template=AutoRecoverIgnore
  102. Template=Opera_Force
  103. Template=Opera_Bookmarks_DirectAccess
  104. Template=Opera_Profile_DirectAccess
  105. Template=Opera_Mail
  106. Template=Local_Opera
  107. Template=Local_LingerPrograms
  108. Template=Local_AutoRecoverIgnore_Thunder
  109. Template=Local_Thunder_History
  110. Template=Local_ComodoProtected
  111. Template=Local_SystemProtected
  112. BoxNameTitle=y
  113. BorderColor=#00FFFF,off
  114. RecoverFolder=F:\Downloads
  115. RecoverFolder=%Desktop%
  116. AutoRecover=n
  117. AutoDelete=y
  118. NeverDelete=n
  119. DeleteCommand=%SystemRoot%\System32\cmd.exe /c RMDIR /s /q "%SANDBOX%"
  120. LeaderProcess=opera.exe
  121. CopyLimitKb=49152
  122. CopyLimitSilent=y
  123. NotifyInternetAccessDenied=n
  124. NotifyStartRunAccessDenied=n
  125. DropAdminRights=y
  126. OpenFilePath=opera.exe,F:\Downloads\Temp\
  127. OpenFilePath=thunder5.exe,F:\Downloads\Temp\
  128. OpenFilePath=<StartRunAccess_Opera>,%AppData%\SogouPY\
  129. ClosedFilePath=!<InternetAccess_Opera>,\Device\RawIp6
  130. ClosedFilePath=!<InternetAccess_Opera>,\Device\Udp6
  131. ClosedFilePath=!<InternetAccess_Opera>,\Device\Tcp6
  132. ClosedFilePath=!<InternetAccess_Opera>,\Device\Ip6
  133. ClosedFilePath=!<InternetAccess_Opera>,\Device\RawIp
  134. ClosedFilePath=!<InternetAccess_Opera>,\Device\Udp
  135. ClosedFilePath=!<InternetAccess_Opera>,\Device\Tcp
  136. ClosedFilePath=!<InternetAccess_Opera>,\Device\Ip
  137. ClosedFilePath=!<InternetAccess_Opera>,\Device\Afd*
  138. OpenIpcPath=<StartRunAccess_Opera>,*\BaseNamedObjects*\mem_user_dict*
  139. ClosedIpcPath=!<StartRunAccess_Opera>,*
  140. FileRootPath=C:\Sandbox\%USER%\%SANDBOX%

  142. [Google_Chrome]

  144. Enabled=y
  145. ConfigLevel=6
  146. Template=LingerPrograms
  147. Template=Lingoes
  148. Template=Chrome_Force
  149. Template=AutoRecoverIgnore
  150. Template=Local_Chrome
  151. Template=Local_LingerPrograms
  152. Template=Local_ComodoProtected
  153. Template=Local_SystemProtected
  154. BoxNameTitle=y
  155. BorderColor=#00FFFF,off
  156. RecoverFolder=F:\Downloads
  157. RecoverFolder=%Desktop%
  158. AutoRecover=n
  159. AutoDelete=y
  160. NeverDelete=n
  161. DeleteCommand=%SystemRoot%\System32\cmd.exe /c RMDIR /s /q "%SANDBOX%"
  162. LeaderProcess=chrome.exe
  163. CopyLimitKb=49152
  164. CopyLimitSilent=y
  165. NotifyInternetAccessDenied=n
  166. NotifyStartRunAccessDenied=n
  167. DropAdminRights=y
  168. OpenFilePath=chrome.exe,F:\Downloads\Temp\
  169. OpenFilePath=<StartRunAccess_Google_Chrome>,%AppData%\SogouPY\
  170. ClosedFilePath=!<InternetAccess_Google_Chrome>,\Device\RawIp6
  171. ClosedFilePath=!<InternetAccess_Google_Chrome>,\Device\Udp6
  172. ClosedFilePath=!<InternetAccess_Google_Chrome>,\Device\Tcp6
  173. ClosedFilePath=!<InternetAccess_Google_Chrome>,\Device\Ip6
  174. ClosedFilePath=!<InternetAccess_Google_Chrome>,\Device\RawIp
  175. ClosedFilePath=!<InternetAccess_Google_Chrome>,\Device\Udp
  176. ClosedFilePath=!<InternetAccess_Google_Chrome>,\Device\Tcp
  177. ClosedFilePath=!<InternetAccess_Google_Chrome>,\Device\Ip
  178. ClosedFilePath=!<InternetAccess_Google_Chrome>,\Device\Afd*
  179. OpenIpcPath=<StartRunAccess_Google_Chrome>,*\BaseNamedObjects*\mem_user_dict*
  180. ClosedIpcPath=!<StartRunAccess_Google_Chrome>,*
  181. FileRootPath=C:\Sandbox\%USER%\%SANDBOX%

  183. [Firefox]

  185. Enabled=y
  186. ConfigLevel=6
  187. Template=LingerPrograms
  188. Template=Firefox_Phishing_DirectAccess
  189. Template=AutoRecoverIgnore
  190. Template=Lingoes
  191. Template=Firefox_Force
  192. Template=Firefox_Bookmarks_DirectAccess
  193. Template=Local_Firefox
  194. Template=Local_LingerPrograms
  195. Template=Local_Thunder_History
  196. Template=Local_AutoRecoverIgnore_Thunder
  197. Template=Local_ComodoProtected
  198. Template=Local_SystemProtected
  199. BoxNameTitle=y
  200. BorderColor=#00FFFF,off
  201. RecoverFolder=F:\Downloads
  202. RecoverFolder=%Desktop%
  203. AutoDelete=y
  204. NeverDelete=n
  205. DeleteCommand=%SystemRoot%\System32\cmd.exe /c RMDIR /s /q "%SANDBOX%"
  206. LeaderProcess=firefox.exe
  207. CopyLimitKb=49152
  208. CopyLimitSilent=y
  209. NotifyInternetAccessDenied=n
  210. NotifyStartRunAccessDenied=n
  211. DropAdminRights=y
  212. OpenFilePath=firefox.exe,F:\Downloads\Temp\
  213. OpenFilePath=thunder5.exe,F:\Downloads\Temp\
  214. OpenFilePath=<StartRunAccess_Firefox>,%AppData%\SogouPY\
  215. ClosedFilePath=!<InternetAccess_Firefox>,\Device\RawIp6
  216. ClosedFilePath=!<InternetAccess_Firefox>,\Device\Udp6
  217. ClosedFilePath=!<InternetAccess_Firefox>,\Device\Tcp6
  218. ClosedFilePath=!<InternetAccess_Firefox>,\Device\Ip6
  219. ClosedFilePath=!<InternetAccess_Firefox>,\Device\RawIp
  220. ClosedFilePath=!<InternetAccess_Firefox>,\Device\Udp
  221. ClosedFilePath=!<InternetAccess_Firefox>,\Device\Tcp
  222. ClosedFilePath=!<InternetAccess_Firefox>,\Device\Ip
  223. ClosedFilePath=!<InternetAccess_Firefox>,\Device\Afd*
  224. OpenIpcPath=<StartRunAccess_Firefox>,*\BaseNamedObjects*\mem_user_dict*
  225. ClosedIpcPath=!<StartRunAccess_Firefox>,*

  227. [KMeleon]

  229. Enabled=y
  230. ConfigLevel=6
  231. Template=LingerPrograms
  232. Template=AutoRecoverIgnore
  233. Template=Lingoes
  234. Template=Local_KMeleon
  235. Template=Local_LingerPrograms
  236. Template=Local_Thunder_History
  237. Template=Local_AutoRecoverIgnore_Thunder
  238. Template=Local_ComodoProtected
  239. Template=Local_SystemProtected
  240. BoxNameTitle=y
  241. BorderColor=#00FFFF,off
  242. RecoverFolder=F:\Downloads
  243. RecoverFolder=%Desktop%
  244. AutoRecover=n
  245. AutoDelete=y
  246. NeverDelete=n
  247. DeleteCommand=%SystemRoot%\System32\cmd.exe /c RMDIR /s /q "%SANDBOX%"
  248. LeaderProcess=k-meleon.exe
  249. CopyLimitKb=49152
  250. CopyLimitSilent=y
  251. NotifyInternetAccessDenied=n
  252. NotifyStartRunAccessDenied=n
  253. DropAdminRights=y
  254. OpenFilePath=k-meleon.exe,F:\Downloads\Temp\
  255. OpenFilePath=thunder5.exe,F:\Downloads\Temp\
  256. OpenFilePath=<StartRunAccess_KMeleon>,%AppData%\SogouPY\
  257. ClosedFilePath=!<InternetAccess_KMeleon>,\Device\RawIp6
  258. ClosedFilePath=!<InternetAccess_KMeleon>,\Device\Udp6
  259. ClosedFilePath=!<InternetAccess_KMeleon>,\Device\Tcp6
  260. ClosedFilePath=!<InternetAccess_KMeleon>,\Device\Ip6
  261. ClosedFilePath=!<InternetAccess_KMeleon>,\Device\RawIp
  262. ClosedFilePath=!<InternetAccess_KMeleon>,\Device\Udp
  263. ClosedFilePath=!<InternetAccess_KMeleon>,\Device\Tcp
  264. ClosedFilePath=!<InternetAccess_KMeleon>,\Device\Ip
  265. ClosedFilePath=!<InternetAccess_KMeleon>,\Device\Afd*
  266. OpenIpcPath=<StartRunAccess_KMeleon>,*\BaseNamedObjects*\mem_user_dict*
  267. ClosedIpcPath=!<StartRunAccess_KMeleon>,*

  269. [Redirect]

  271. Enabled=y
  272. ConfigLevel=6
  273. BoxNameTitle=y
  274. Template=LingerPrograms
  275. Template=Firefox_Phishing_DirectAccess
  276. Template=AutoRecoverIgnore
  277. Template=Lingoes
  278. Template=Local_Thunder_History
  279. Template=Local_AutoRecoverIgnore_Thunder
  280. Template=Local_LingerPrograms
  281. Template=Local_ComodoProtected
  282. BorderColor=#00FFFF,off
  283. AutoRecover=n
  284. RecoverFolder=F:\Downloads
  285. RecoverFolder=%Personal%
  286. RecoverFolder=%Favorites%
  287. RecoverFolder=%Desktop%
  288. AutoDelete=n
  289. NeverDelete=y
  290. DeleteCommand=%SystemRoot%\System32\cmd.exe /c RMDIR /s /q "%SANDBOX%"
  291. CopyLimitKb=49152
  292. CopyLimitSilent=n
  293. OpenFilePath=thunder5.exe,F:\Downloads\Temp\
  294. OpenPipePath=%AppData%\SogouPY\
  295. ClosedFilePath=C:\boot.ini
  296. ClosedFilePath=C:\bootfont.bin
  297. ClosedFilePath=C:\ntldr
  298. ClosedFilePath=C:\ntdetect.com
  299. ClosedFilePath=*.gho
  300. ReadFilePath=C:\Program Files\Avira\
  301. ClosedKeyPath=HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*
  302. ClosedKeyPath=HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run*
  303. OpenIpcPath=*\BaseNamedObjects*\mem_user_dict*
  304. FileRootPath=D:\Sandbox\%USER%\%SANDBOX%

  306. [USBDisk]

  308. Enabled=y
  309. ConfigLevel=6
  310. BoxNameTitle=y
  311. BorderColor=#00FFFF,off
  312. AutoDelete=y
  313. NeverDelete=n
  314. DeleteCommand=%SystemRoot%\System32\cmd.exe /c RMDIR /s /q "%SANDBOX%"
  315. ForceFolder=J:\
  316. ForceFolder=F:\Downloads\Temp
  317. CopyLimitKb=4096
  318. CopyLimitSilent=y
  319. NotifyInternetAccessDenied=n
  320. NotifyStartRunAccessDenied=n
  321. DropAdminRights=y
  322. ClosedFilePath=\Device\RawIp6
  323. ClosedFilePath=\Device\Udp6
  324. ClosedFilePath=\Device\Tcp6
  325. ClosedFilePath=\Device\Ip6
  326. ClosedFilePath=\Device\RawIp
  327. ClosedFilePath=\Device\Udp
  328. ClosedFilePath=\Device\Tcp
  329. ClosedFilePath=\Device\Ip
  330. ClosedFilePath=\Device\Afd*
  331. ClosedIpcPath=*

  333. [Virus]

  335. Enabled=y
  336. ConfigLevel=6
  337. Template=LingerPrograms
  338. Template=Firefox_Phishing_DirectAccess
  339. Template=AutoRecoverIgnore
  340. Template=Local_LingerPrograms
  341. Template=Local_ComodoProtected
  342. BoxNameTitle=y
  343. BorderColor=#0000FF
  344. ForceFolder=F:\leaktests
  345. ForceFolder=F:\virus
  346. CopyLimitKb=2048
  347. CopyLimitSilent=y
  348. DropAdminRights=y
  349. FileRootPath=F:\Sandbox\virus\

  351. [Template_Local_IExplore]

  353. Tmpl.Title=Template_Local_IExplore
  354. Tmpl.Class=Local
  355. OpenFilePath=iexplore.exe,%Favorites%\*.url
  356. OpenFilePath=iexplore.exe,%Favorites%\*.ico
  357. OpenFilePath=iexplore.exe,%Cookies%\*.txt

  359. [Template_Local_TheWorld]

  361. Tmpl.Title=Template_Local_TheWorld
  362. Tmpl.Class=Local
  363. ForceProcess=theworld.exe
  364. OpenFilePath=theworld.exe,%Favorites%\*.url
  365. OpenFilePath=theworld.exe,%Favorites%\*.ico
  366. OpenFilePath=theworld.exe,%Cookies%\*.txt
  367. OpenFilePath=theworld.exe,*\theworld*\theworld.ini
  368. OpenFilePath=theworld.exe,*\theworld*\form.ini
  369. OpenFilePath=theworld.exe,*\theworld*\passlist.dat
  370. OpenFilePath=theworld.exe,*\theworld*\theworld.ac
  371. OpenFilePath=theworld.exe,*\theworld*\theworld.xml
  372. OpenFilePath=theworld.exe,*\theworld*\twcache.ini
  373. OpenFilePath=theworld.exe,*\theworld*\imgcache\*.ico

  375. [Template_Local_Maxthon2]

  377. Tmpl.Title=Template_Local_Maxthon2
  378. Tmpl.Class=Local
  379. OpenFilePath=maxthon.exe,%Cookies%\*.txt

  381. [Template_Local_IEProtected]

  383. Tmpl.Title=Template_Local_IEProtected
  384. Tmpl.Class=Local
  385. ClosedFilePath=*\wshom.ocx
  386. ClosedFilePath=*\scrrun.dll
  387. ClosedFilePath=*\msado15.dll
  388. ClosedFilePath=*\msadco.dll

  390. [Template_Local_Chrome]

  392. Tmpl.Title=Template_Local_Chrome
  393. Tmpl.Class=Local
  394. OpenFilePath=chrome.exe,%Local AppData%\Google\Chrome\User Data\
  395. OpenFilePath=chrome.exe,%Local AppData%\Chromium\User Data\
  396. OpenFilePath=chrome.exe,D:\Program Files\Chrome\User Data\

  398. [Template_Local_Opera]

  400. Tmpl.Title=Template_Local_Opera
  401. Tmpl.Class=Local
  402. OpenFilePath=opera.exe,*\Opera\mail\
  403. OpenFilePath=opera.exe,*\Opera\Profile\icons\
  404. OpenFilePath=opera.exe,*\Opera\Profile\images\
  405. OpenFilePath=opera.exe,*\Opera\Profile\thumbnails\*.png
  406. OpenFilePath=opera.exe,*\Opera\Profile\cookies4.dat
  407. OpenFilePath=opera.exe,*\Opera\Profile\contacts.adr
  408. OpenFilePath=opera.exe,*\Opera\Profile\opera6.adr
  409. OpenFilePath=opera.exe,*\Opera\Profile\notes.adr
  410. OpenFilePath=opera.exe,*\Opera\Profile\global.dat
  411. OpenFilePath=opera.exe,*\Opera\Profile\download.dat
  412. OpenFilePath=opera.exe,*\Opera\Profile\wand.dat
  413. OpenFilePath=opera.exe,*\Opera\Profile\opera6.ini
  414. OpenFilePath=opera.exe,*\Opera\Profile\speeddial.ini
  415. OpenFilePath=opera.exe,*\Opera\Profile\urlfilter.ini
  416. OpenFilePath=opera.exe,*\Opera\Profile\typed_history.xml
  417. OpenFilePath=opera.exe,*\Opera\Profile\sessions\autosave.win

  419. [Template_Local_Firefox]

  421. Tmpl.Title=Template_Local_Firefox
  422. Tmpl.Class=Local
  423. OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*\prefs.js
  424. OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*\bookmarks*
  425. OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*\patterns*
  426. OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*\places*
  427. OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*\persdict.dat
  428. OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*\*.sqlite*

  430. [Template_Local_KMeleon]

  432. Tmpl.Title=Template_Local_KMeleon
  433. Tmpl.Class=Local
  434. ForceProcess=k-meleon.exe
  435. OpenFilePath=k-meleon.exe,*\Pref\bookmarks*
  436. OpenFilePath=k-meleon.exe,*\Profiles\*\prefs.js
  437. OpenFilePath=k-meleon.exe,*\Profiles\*\patterns*
  438. OpenFilePath=k-meleon.exe,*\Profiles\*\persdict.dat
  439. OpenFilePath=k-meleon.exe,*\Profiles\*\*.sqlite*
  440. OpenFilePath=k-meleon.exe,*\Profiles\*\Cache\*

  442. [Template_Local_LingerPrograms]

  444. Tmpl.Title=Template_LingerPrograms
  445. Tmpl.Class=Local
  446. LingerProcess=pinyinup.exe
  447. LingerProcess=imeutil.exe
  448. LingerProcess=ppsap.exe
  449. LingerProcess=sopadver.exe

  451. [Template_Local_AutoRecoverIgnore_Thunder]

  453. Tmpl.Title=Template_Local_AutoRecoverIgnore_Thunder
  454. Tmpl.Class=Local
  455. AutoRecoverIgnore=.td
  456. AutoRecoverIgnore=.td.cfg

  458. [Template_Local_Thunder_History]

  460. Tmpl.Title=Template_Local_Thunder_History
  461. Tmpl.Class=Local
  462. OpenFilePath=thunder5.exe,*\Profiles\history6.dat*

  464. [Template_Local_SystemProtected]

  466. Tmpl.Title=Template_Local_SystemProtected
  467. Tmpl.Class=Local
  468. ClosedFilePath=C:\boot.ini
  469. ClosedFilePath=C:\bootfont.bin
  470. ClosedFilePath=C:\ntldr
  471. ClosedFilePath=C:\ntdetect.com
  472. ClosedFilePath=*.bat
  473. ClosedFilePath=*.com
  474. ClosedFilePath=*.cmd
  475. ClosedFilePath=*.pif
  476. ClosedFilePath=*.vbs
  477. ClosedFilePath=*.scr
  478. ClosedFilePath=*.hta
  479. ClosedFilePath=*.gho
  480. ReadFilePath=C:\Program Files\Avira\
  481. ClosedKeyPath=HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*
  482. ClosedKeyPath=HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run*

  484. [Template_Local_ComodoProtected]

  486. Tmpl.Title=Template_Local_ComodoProtected
  487. Tmpl.Class=Local
  488. ClosedFilePath=C:\Program Files\COMODO\
  489. ClosedFilePath=C:\Documents and Settings\All Users\Application Data\comodo\
  490. ClosedFilePath=C:\WINDOWS\system32\drivers\cmdguard.sys
  491. ClosedFilePath=C:\WINDOWS\system32\drivers\cmdhlp.sys
  492. ClosedFilePath=C:\WINDOWS\system32\drivers\inspect.sys
  493. ReadFilePath=C:\WINDOWS\system32\guard32.dll
  494. ClosedKeyPath=HKEY_LOCAL_MACHINE\System\Comodo*
  495. ClosedKeyPath=HKEY_LOCAL_MACHINE\Software\Comodo*
  496. ClosedKeyPath=HKEY_CURRENT_USER\Software\Comodo*
  497. ClosedKeyPath=HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\COMODO Internet Security
复制代码





沙盘之路完成!
谢谢阅读!
希望大家能够找到一条适合自己的沙盘之路。






诱敌于沙盘之中,不战而屈人之兵,善之善者也!



电子书下载 (感谢hdpei制作)

地址1:http://www.91files.com/?E963SGQMCZOEL8ZSO1I8
地址2:http://www.brsbox.com/filebox/do ... 23ac219433d622eea65

MD5:FC03C5218AF528FEAFEB3DA1BCD9CA20









[ 本帖最后由 ubuntu 于 2009-6-2 10:49 编辑 ]
作者: ubuntu    时间: 2009-1-20 16:14

沙发

感谢大家支持,指出错误,恕不壹壹回复!

[ 本帖最后由 ubuntu 于 2009-1-20 18:18 编辑 ]
作者: ubuntu    时间: 2009-1-20 16:14

板凳
作者: ubuntu    时间: 2009-1-20 16:15

地板
作者: choco_dove    时间: 2009-1-20 16:17

晕,原来前面不开放权限是为了干这个啊

太过分了,我还好心把自己回帖删掉,怕你是有什么事
作者: alankoh    时间: 2009-1-20 16:19

进来学习学习
作者: xinhaozs    时间: 2009-1-20 16:28

先占地方支持再慢慢学习 U版的精品
作者: loxin    时间: 2009-1-20 16:29

继毛豆打磨之后,再一次拜读U版大作
作者: huangxinster    时间: 2009-1-20 16:29

真的是精品啊  学习了
作者: lanmao    时间: 2009-1-20 16:38

好贴,强帖!先收藏慢慢学习了
作者: ljqm    时间: 2009-1-20 16:40

楼主长篇大论,辛苦了,看了对沙盘有了一定的认识,谢谢。
作者: wenjicui    时间: 2009-1-20 16:42

很黄很暴力,学习中
作者: ejy    时间: 2009-1-20 16:52

等了半天终于可以看了
学习学习
作者: Mr.Z    时间: 2009-1-20 17:09

u版又一強帖,先收藏再看
作者: joshua    时间: 2009-1-20 17:14

占地方学习 先收藏
作者: rcbblgy    时间: 2009-1-20 17:16

U版的帖,要先回再看。

我现在就把sbie当安全软件来用。。。

[ 本帖最后由 rcbblgy 于 2009-1-20 17:45 编辑 ]
作者: catoom    时间: 2009-1-20 17:26

好东西啊 强烈支持 收藏下学习
作者: caizh    时间: 2009-1-20 17:32

谢谢U版的又一力作,拜读了!
作者: 轻闲一柳    时间: 2009-1-20 17:32

U版又强大一次

个人觉得在纯hips里设好规则,开个影子比沙盘方便些

ps:U版的抢功一流啊
作者: 唐人    时间: 2009-1-20 17:34

先收藏,学习下
作者: 肉包子    时间: 2009-1-20 17:34

u大的文一向很经典偶很喜欢看
可惜u大不用RTD
作者: 左手    时间: 2009-1-20 17:39

耐心看完了,很好,我会试一下沙盘的~
作者: 轻闲一柳    时间: 2009-1-20 17:40

Forced Programs 优先级低于 Forced Programs


U版这句笔误吧
作者: lsyer    时间: 2009-1-20 17:41

好文章
应该加魅力的~
作者: ubuntu    时间: 2009-1-20 17:54     标题: 回复 27楼 轻闲一柳 的帖子

3Q! 已经修改了!
作者: hubuz    时间: 2009-1-20 18:01

很好很强大,高人再出山
作者: V!RTUAL    时间: 2009-1-20 18:03

U版是我的偶像!
作者: wooyard    时间: 2009-1-20 19:01

好文章,慢慢看!
作者: fusheng9393    时间: 2009-1-20 20:06

好文章,支持!
作者: №UFO〓    时间: 2009-1-20 20:22

强贴留名,绝对便利
作者: ningning777    时间: 2009-1-20 20:24

楼主真强,赞一个~
慢慢学习~
作者: yndlyb    时间: 2009-1-20 20:35

此文先收藏了,谢谢U版。
作者: KFfoxstep    时间: 2009-1-20 20:40

又是经典,太好了
作者: 肉包子    时间: 2009-1-20 20:52

丂,看了差不多一个小时,u大的文向来经典,又有技术性又考虑到了偶等菜鸟,嘿嘿,要是还有ie6和世界之窗以及opera的详细,那对我们菜鸟来说就更超完美了
作者: zqmm100    时间: 2009-1-20 21:07

确实写的很好啊!我用沙盘基本只去设置允许运行和允许访问网络的程序列表,别的都不管。。
作者: 肉包子    时间: 2009-1-20 21:14     标题: 回复 39楼 zqmm100 的帖子

而且还可以直接复制设置,真是很爽啊
作者: meng_3547    时间: 2009-1-20 21:18

正在使用 学习了!
作者: vocation1985    时间: 2009-1-20 21:38

如此精华,收藏细看
感谢U大
作者: xiaolongkun0kf    时间: 2009-1-20 22:59

随便看了下,写得非常详细和系统!
若我如当初刚入门,简直如获至宝,确实是非常好的教程。
而现在似乎用不着了。
最近在完善自己的脚本程序
[attach]446641[/attach]
作者: 爱神    时间: 2009-1-20 23:05     标题: 回复 43楼 xiaolongkun0kf 的帖子

期待你的大作
作者: 肉包子    时间: 2009-1-20 23:11     标题: 回复 43楼 xiaolongkun0kf 的帖子

这也是个很爽的工具啊,很期待啊
作者: qkf    时间: 2009-1-21 00:05

好文章 支持个 学习学习
作者: Magis    时间: 2009-1-21 00:10

后排占座,等星星过来拍砖~
还是那些老问题,不知道U版如何解决的:沙盘内的程序,comodo不能监控其截屏,不知道其他HIPS和沙盘合用时是不是也有这种情况;而且某些COM监控有问题;沙盘内程序,cmf的BO检测受影响(典型如tencent,常用也就它),不知最新的CIS整合的CMF  fix了这个问题没有。
倒是很期待GW也能有个这样的帖子(星星测试GW不会出现上述问题),不过U版说自定义规则相当之难?

[ 本帖最后由 magiscoldeye 于 2009-1-21 00:36 编辑 ]
作者: lgwjlgwj    时间: 2009-1-21 02:27

偶把此文当SBie教材看了,又认识了一位强人!
作者: germany05400    时间: 2009-1-21 08:01

辛苦了! 拜读大作!珍藏……
作者: woaiitaly    时间: 2009-1-21 09:23

先留个名,然后慢慢学习。
作者: 大少爷    时间: 2009-1-21 09:47

见到专家了。花了1个小时做了doc  pdf ,中间想上茅房都没去。有时间慢慢看。

[ 本帖最后由 大少爷 于 2009-1-21 09:56 编辑 ]
作者: shhggl    时间: 2009-1-21 10:18

写的真好,受教了,啥时候版主写篇Gswall的用法就好了。
作者: allen6683    时间: 2009-1-21 11:11

好帖,慢慢学习,谢谢
作者: jackeyvip    时间: 2009-1-21 11:54

不错,学习了。
作者: 星之梦    时间: 2009-1-21 12:06

U版的帖子写得就是详尽。

CIS兼容问题慢慢解决吧,不解决问题也不是很大,
访问屏幕不能控制沙盘外运行就可以了。

Sandboxie的虚拟化程度高,除了防泄漏方面差点,
在窗口控制、危害计算机的恶意程序的防护上还是很出色的。

不过CMF不兼容我还是用GeSWall,
最近发现GeSWall和CIS互补太好了,
设置文件Confidential可以防恶意程序随意读取我的文件,
由于我用Comodo时间很长,很久没控制程序读取了。
(虽然COMODO也可以用Block Files防,不过是全局,不如GeSWall根据程序规则灵活)。
作者: shuiyouyou    时间: 2009-1-21 12:44

U版又一强帖,乃真是佩服呀
作者: zfq520    时间: 2009-1-21 12:52

收藏,慢慢学习
作者: wildbee    时间: 2009-1-21 13:07

这篇文章实在是太好了。
作者: 黑夜的影子    时间: 2009-1-21 13:15

对沙盘有更深的理解了
作者: e_roamer    时间: 2009-1-21 13:20

非常详细的教程,拜读了,谢谢!
作者: lgwjlgwj    时间: 2009-1-21 15:43

终于读完了。。。 对SBie又有了更深的理解!不过出现一个疑问:难道阻止访问和沙盘的默认设置没有重叠么?默认不是阻止访问实机么?

[ 本帖最后由 lgwjlgwj 于 2009-1-21 19:12 编辑 ]
作者: superax    时间: 2009-1-21 17:22

来学习大作了
作者: behind411    时间: 2009-1-21 20:54

lz  你太强悍了
辛苦了
我太崇拜你了
作者: 走丢啦    时间: 2009-1-21 22:53

太好啦!
作者: Magis    时间: 2009-1-22 01:05     标题: 回复 61楼 lgwjlgwj 的帖子

略有不同,阻止访问干脆禁读;默认不会阻止读取,当然修改是在虚拟环境里。
作者: lgwjlgwj    时间: 2009-1-22 01:45

原帖由 magiscoldeye 于 2009-1-22 01:05 发表
略有不同,阻止访问干脆禁读;默认不会阻止读取,当然修改是在虚拟环境里。
就是沙盘默认允许实机的只读操作了?
所以说防泄漏还是要阻止访问来实现吧?
作者: Magis    时间: 2009-1-22 01:52     标题: 回复 66楼 lgwjlgwj 的帖子

可以这么理解。
SBie的anti-leak其实很一般(个人感觉还有副作用,比如沙盘内运行软件,CIS不能拦截其截屏和某些COM行为),主要用来重定向。
作者: lgwjlgwj    时间: 2009-1-22 01:59

看来要屏蔽迅雷上传还是要靠阻止访问了。。。
多谢Magis兄!
BTW:帮助适应会和帮帮团是虾米关系啊 ???难道帮帮团负责白天,适应会午夜才出来活动?

[ 本帖最后由 lgwjlgwj 于 2009-1-22 02:02 编辑 ]
作者: Magis    时间: 2009-1-22 02:14     标题: 回复 68楼 lgwjlgwj 的帖子


The dark knight~
BBT偏技术答疑,SHY侧重人际调理,我们是兄弟和战友的关系~
作者: huai168an    时间: 2009-1-22 06:55

谢谢U版的精贴  学习了
作者: 月影花痕    时间: 2009-1-22 11:49

太厉害了,精品文章!
作者: 1cewing    时间: 2009-1-22 12:51

U大还是这么能量十足,敬仰敬仰
作者: yujun0619    时间: 2009-1-22 18:50

好详细啊......要是能像DW那样打几个勾勾..就好了..
作者: 8684hongchen    时间: 2009-1-22 20:56

很长啊!我慢慢看,谢谢楼主!
作者: 西门吹雪123    时间: 2009-1-22 21:15

好复杂
作者: 梦思缘    时间: 2009-1-22 21:50

U版的帖子需要慢慢看的
作者: lyljj    时间: 2009-1-23 10:51

精品啊,收藏了~~~
作者: lgwjlgwj    时间: 2009-1-23 11:36

又产生了个疑问:FileRootPath项的优先级是全局的高还是各个沙盘下的高啊?貌似沙盘单独设置的高。。。

[ 本帖最后由 lgwjlgwj 于 2009-1-23 11:40 编辑 ]
作者: 青衫依旧    时间: 2009-1-23 15:05

谢谢楼主分享
作者: airforce9527    时间: 2009-1-23 17:26

慢慢学习中
作者: nevin    时间: 2009-1-23 20:22

sanboxie终于有这么详细的教程了~~哈哈
作者: 秘书    时间: 2009-1-24 21:59

才看见 支持下
作者: hoz2004    时间: 2009-1-24 23:51

好详细,好强大~~
拜读~!
作者: 2189228    时间: 2009-1-25 03:47

好东西 进来学习了!
作者: jml521m    时间: 2009-1-25 04:28

     很好很 强大 ...  我找了好几天都没找下这么全面的 ...
作者: aseioteur    时间: 2009-1-25 11:05

U大的作品,拜读中

作者: xqperkins    时间: 2009-1-25 21:25     标题: 支持一下 收藏了

收藏了
作者: 凡事感激    时间: 2009-1-26 03:04


楼主是用搜狗拼音的
看到个很流氓的Pinyinup.exe
作者: wolfmei    时间: 2009-1-26 13:14

强贴,爽。感谢ubuntu版主!
作者: meng_3547    时间: 2009-1-28 19:49

学习了
作者: arthurm    时间: 2009-1-28 21:45

好……强的帖子啊,精品!
作者: 南丁    时间: 2009-1-29 09:46

U版东西看看  支持U大~
作者: ytslg157    时间: 2009-1-29 17:24

不愧是精华帖 确实NB啊
作者: whflzgwhf    时间: 2009-1-29 19:47

学习学习
顺便收藏
谢谢楼主

[ 本帖最后由 whflzgwhf 于 2009-1-29 20:12 编辑 ]
作者: tod20010_ren    时间: 2009-1-30 01:22

好详细,太感谢了
作者: summertime13    时间: 2009-1-30 13:18

U版的大作一定要支持
作者: 紫雨星愿    时间: 2009-1-30 14:09

太好了,最近正在研究沙盘中,搬回家慢慢品味U版大作
作者: 东京时空    时间: 2009-1-30 18:29

就是没有针对QQ的。
作者: lfj162    时间: 2009-1-31 09:54

晕了晕了,看的脑子都大了。休息一下再看。。。。。。。。。
作者: arthurm    时间: 2009-1-31 22:58

好帖子,不过我的试验好像没有成功,怎么配置文件覆盖之后,配置没有更改呢,重启了几次了




欢迎光临 卡饭论坛 (http://bbs.kafan.cn/) Powered by Discuz! 7.2