分享CIS8.2沙箱应用的经验

CFFans

沙箱程序的权限限制需要以enhanced protection mode开启为前题
而enhanced protection mode也有必须Win7 x64以上 (没测过CPU硬体虚似化是不是也必须)为前题
如果没有开启enhanced protection mode, Restriction Level权限限制 (Untrusted, Restricted, Limited, Partially Limited)将不起作用, 而沙箱程序的Restriction Level也只会运行在Full Virtual之上
关闭enhanced protection mode后才留意到, 沙箱程序只运行在Full Virtual

因为CIS8.2打开enhanced protection mode后不会再导致Windows被识别在虚似机之内，所以尝试过沙箱应用

首先，它是有可能画面冻结
第二，不要将你沙箱化的执行文件所在文件夹放入排除虚似化之内，有BUG

例子
http://pangya.gamerage.com/
因为我连引导程序也相信不过，所以将网游引导程序加入沙箱，而网游所在文件夹也加入排除虚似化
理论上，这样网游引导程序更新的文件不会被虚似化到VTRoot，可以减少手动搬移的麻烦
但实际，被沙箱的执行文件会强制识别在沙箱内，将它所在的位置加入排除虚似化就出问题啦

每次打开这个网游的引导程序update.exe都会重建一个名为update.cln的复制品后，才使用它连接网络
所以会有一个删除update.cln，和新建update.cln的过程
第一次启动，因为所在文件夹被排除虚似化，沙箱update.exe会打开新建在原文件夹内的update.cln
第二次启动，update.exe会删除update.cln后再重新新建，但被沙箱的执行文件会强制识别在沙箱内，就发生以下怪事，找不到文件

删除的时候，update.cln同时不存在于VTRoot和原文件夹，新建后update.cln只存在于原文件夹，但用Virtual Desktop浏览原文件夹会看不见update.cln存在

问题类似于：
你用Virtual Desktop浏览某一文件夹
切到普通桌面，在该文件夹内新建一文件如test.txt
切回Virtual Desktop，删除test.txt (test.txt会被沙箱识别为不存在)
切到普通桌面，不断删除、新建test.txt，Virtual Desktop内也一样不可见

在某程度上说算正常行为，但将沙箱化执行文件所在位置排除虚似化后，文件位置的识别就出BUG啦


沙箱应用说明

File source tracking，会引致产生ADS的问题，CIS8.2不爽不要开
什么是ADS问题？其他文件的ADS还容易移除…
你去做个Windows自动更新吧，所有更新的系统文件都被CIS加上ADS，而这些系统文件受TrustedInstaller保护，不更改文件权限，你根本不能移除ADS！
如果上年12月开始装上CIS8，还一直做Windows更新？恭贺你，你的系统文件会被留下一大片正常不能移除的ADS呢，不爽CIS动你的系统文件？将12月开始的Windows更新反安装后重装一次吧，你只剩这一途方法


Sandbox program管理简易说明

Action：
设Restricted的都不能连接网络，而设Virtually的则可以 (Untrusted例外)

Restriction Level：
Untrusted不能连接网络，完全不信任才使用
Restricted可以浏览HTTP网页但不能连上HTTPS，可能是没有CryptSvc权限
Limited可以连上HTTPS，不需要系统管理员权限的程序可以尝试这个
Partially Limited，需要系统管理员权限(UAC)程序的最低工作层级，你不能虚似工作在更低的限制Level, 没有只能打开10个子程序的限制
不勾选即Full Virtual，最明显也是没有只能打开10个子程序的限制，例如要用Chrome浏览网页…

可以用沙箱玩受nProtect保护的网游啦，在以前必定和Defense+相冲的日子里，是完全不能想象的
性能…性能没怎么影响呢

Viruscope
[BUG] CIS8.2应用沙箱可能引致画面冻结
上面冻结说的空文件关系，不要开
因为它不是文件创建前冻结，是在创建后冻结的，非常高机会是Viruscope致crash…

YSJ

这是转贴,还是楼主自己写的

柯林

YSJ 发表于 2015-4-28 08:50
这是转贴,还是楼主自己写的

谷歌机器人

YSJ

柯林 发表于 2015-4-28 10:51
谷歌机器人

等我百度一下

CFFans

我还想吐嘈谷歌百度一下不就知道, 就帮我吐了
嘛, 论坛注册后要白等三天, 如果将予先写在记事本的内容复制过来也算转贴的话,下次我会在标题加上〔转贴自记事本〕这样的吐嘈上去啦

内文有失误已修改…
关闭enhanced protection mode后才留意到, 沙箱程序只运行在Full Virtual