毛豆沙盒与Sandboxie的简单使用体验

Domenic

今天心血来潮，随便用一下毛豆沙盒和sandboxie，不是很会，边学边用，分享一下自己遇到的，看着玩就好了。我在网上找了一个精简绿色版的TIM，就拿来放到两个沙盒里面试一试。

先解压到了Sandboxie里面，还蛮顺利的，期间毛豆的HIPS弹了几个弹窗检测到Sanboxie里面的文件改注册表，后来排除了Sandboxie的注册表项，就没弹窗了。之后就打开了TIM，运行在沙盒内，但是它竟然自动登录了（之后在毛豆沙盒里面试也是这样，会自己登录，不用输密码）。
这。。。不是隔离了嘛，为什么可以得到我的登录信息。。

在Sandboxie里面装完thunderbird，会无法使用。不知道是不是有什么权限未允许。

之后我去用了毛豆的沙盒（直接使用的虚拟桌面），snipaste截图是全黑的，看了日志是拦截了snipaste的屏幕监控权限，之后在HIPS里面改成允许也不行。
又装了一些Everything，正常使用，没什么问题。
然后装了thunderbird，安装顺利，但是打不开，无法使用（附了图片）。权限不够？日志里面也没有拦截的记录。

之后我还发现了一个问题，我开着毛豆的虚拟桌面，然后退回到真实桌面去开微信（我之前把微信改成了不信任），毛豆的弹窗会弹两遍，一次在真实系统，一次在虚拟桌面，我必须要两边都允许才能正常使用，不然就是可以登录，但是有一些问题，就比如不能打开图片（但是可以看见缩率图），不知道为什么，微信没有隔离运行，但是在虚拟桌面里面也会出现弹窗。

Domenic

顺便提个问题哈，我在毛豆虚拟桌面里面运行cmd，powershell 好像就是真实系统的cmd，powershell（因为我自定义过他们的外观，所以知道是不是真实系统的），还是说只是虚拟桌面里面的cmd读了注册表，知道了我的自定义参数。那么我在虚拟桌面里面用cmd是不是隔离的。

柯林

Sandboxie好像要设置的，默认似乎”火力不够“，具体找下教程（卡饭以前热过，教程一大堆）
毛豆的沙盘，据说为了改善通用性，允许使用安装在沙盘里的服务，具体限制了哪些东东，需要测试才知道了

ps：你的方法对不对，我不知道，你是把那东东安装在豆子的沙盘内使用，还是装在外面，设置入沙使用？让猫版他们使用豆子的帮你复测下

柯林

Domenic 发表于 2021-3-2 21:13
顺便提个问题哈，我在毛豆虚拟桌面里面运行cmd，powershell 好像就是真实系统的cmd，powershell（因为我自 ...

看外观能看出来？所有程序，不都是安装在实机的，除非你把它装进虚拟机。

所谓隔离，其实就是”重定向“，也就是”转移“——相当于设置个”小黑屋，把相关程序丢里面去折腾了。只要没穿沙，一般是没有问题的。

ttrry

沙盘一般主要防止沙盘内的程序对外部造成影响与破坏，读取外部信息一般不禁止吧；
记得sandboxie可以自定义设置允许读取或写入哪些内容；毛豆的沙盘可自定义设置项较少

Domenic

柯林 发表于 2021-3-2 22:50
Sandboxie好像要设置的，默认似乎”火力不够“，具体找下教程（卡饭以前热过，教程一大堆）
毛豆的沙盘， ...

我是直接安装在沙盒里面再使用的。
sandboxie的教程我之前在网上简单的找了一下，没找到。。待会去卡饭里面挖掘一下
你说的毛豆允许使用安装在沙盘里面的服务是什么意思，我在虚拟桌面里面调出来的cmd是真实系统的cmd，不知道到底有没有被隔离。。

Domenic

柯林 发表于 2021-3-2 22:54
看外观能看出来？所有程序，不都是安装在实机的，除非你把它装进虚拟机。

所谓隔离，其实就是”重定向 ...

因为我设置了cmd和powershell的不透明度，它们是半透明的，我在虚拟桌面里面打开的窗口也是半透明的，我就觉得是和真实系统里面的一样。
重定向也就是说沙盒会把程序执行的所有操作都转移到沙盒内部，但是程序本身还是安装在实体机里面的是是吗

Domenic

ttrry 发表于 2021-3-3 11:23
沙盘一般主要防止沙盘内的程序对外部造成影响与破坏，读取外部信息一般不禁止吧；
记得sandboxie可以自定 ...

不防读取嘛
我想到把程序放到沙盒内部，就是想创造一个完全独立的环境的，这么看了沙盒和虚拟机还是有蛮大不同。
刚刚看了柯大的解释，大概理解了，沙盒应该只是把程序的行为进行隔离（重定向），其他的不阻止

柯林

Domenic 发表于 2021-3-3 12:33
因为我设置了cmd和powershell的不透明度，它们是半透明的，我在虚拟桌面里面打开的窗口也是半透明的，我 ...

你没装在沙盒里的，肯定是在实机

柯林

Domenic 发表于 2021-3-3 12:36
不防读取嘛
我想到把程序放到沙盒内部，就是想创造一个完全独立的环境的，这么看了沙盒和虚拟机还 ...

沙盒除了重定向---文件操作全部转在虚拟文件夹内，注册表操作完全虚拟在一个特定的键内，其它行为，依据策略等级不同，是有不同程度的限制的

毛豆沙盘好像分了四个等级，你要不特别制定，它就默认给你配“通用级别”（限制最少，程序能顺畅跑起来，大多数行为没有障碍；防之，要往高里选，很多行为就受到限制，被降权处理了，有些行为根本就动不起来）