[心得] Sandboxie和防勒索
作者: mayuyu ((・ω・)ノ) 2017-02-05 12:18:47
Sandboxie可以防止勒索病毒破壞真實系統。
免費試用版比正式版少二個功能
1. 同時只能運行一個沙盤
例如 建立 Line_ID1/Line_ID2 二個沙盤,
同時只能運行其中一個Line,不能多開。
替代方法
只是要多開的話,改建立多個Windows使用者帳戶,
以"Run As..."工具,用不同使用者身份開啟運行。
2. 不能指定「程式/資料夾」強制從沙盤中開啟
例如:手動從沙盤中啟動Chrome瀏覽器,
而Line則放在沙盤外運行,
此時點擊Line裡面朋友傳送的連結,
會在沙盤外重新啟動一個獨立的chrome.exe視窗開啟連結,
而不會自動進入沙盤,在沙盤裡的Chrome開新分頁。
正式版可以指定chrome.exe強制從沙盤中開啟,
所以即使在沙盤外點擊連結,只要chrome.exe啟動,
就會自動進入指定的沙盤。
替代方法
修改Chrome快捷,將路徑改為
"C:\Program Files\Sandboxie\Start.exe"
/box:指定開啟的沙盤例如Default /nosbiectrl /hide_window
"chrome.exe的路徑"
這樣點擊這個捷徑就會自動從Default沙盤中開啟Chrome。
把Line也放入同樣的Default沙盤中運行,
這樣點擊Line的連結就會在沙盤裡的Chrome開啟。
不過我們不可能將系統上所有會用到Chrome的程式都放入沙盤裡執行,
所以正式版的自動強制入沙的功能還是比較方便。
和防毒軟體的相容性
BitDefender 2017 & WIN10
看起來一切正常
Kaspersky 2017 & WIN10
官方宣稱2017有相容SBIE,
實測Firefox和Chrome可以入沙,其他看起來也都正常,
但是從沙盤中開啟IE和Edge會無法關機,必須reset重啟系統,
所以不要用沙盤開IE和Edge,改用其他瀏覽器。
強化沙盤的限制和一些相容性設定
1. 限制程式啟動
![]()
例如Chrome沙盤中只允許chrome.exe可以啟動運行。
只允許chrome.exe啟動的話,有時候需要運行其他程式時,
SBIE就會彈出應用程式被限制無法啟動的訊息。
例如在Chrome瀏覽器中開啟資料夾瀏覽要上傳的檔案,
顯示縮圖預覽時會彈出無法啟動dllhost.exe的訊息。
此時在彈出的訊息上按隱藏,
以後就不會再彈出這個應用程式被限制啟動的訊息,
或者在訊息上雙擊,以後就會自動放行dllhost.exe。
2. 限制程式連網
![]()
例如Chrome沙盤中只允許chrome.exe可以連網
3. 降低更多權限
![]()
取消更多Chrome的權限的話有些服務就無法執行。
例如Chrome會使用在背景上傳資料的BITS服務,
勾取這個選項的話SBIE會彈出BITS服務無法啟動的錯誤訊息。
同樣如果不想看到這個錯誤訊息,在訊息上按隱藏就好,
或者雙擊放行這個權限。
4. 強制chrome.exe從這個沙盤中開啟
![]()
則沙盤外無論誰啟動chrome.exe,都會自動強制在這個沙盤中開啟。
這個功能是最重要的功能,只有正式版能用。
5. 指定資料夾下的程式或檔案一律強制在沙盤中開啟
![]()
例如可以設定「光碟機/USB隨身碟」所在的磁碟機為強制資料夾,
這樣當光碟片或USB插入時,autorun執行的程式會自動進入沙盤運行。
這個功能只有正式版能用。
6. 應用程式停止
![]()
![]()
見圖裡面的說明。
例如Chrome沙盤裡,chrome.exe結束運行後,
自動結束沙盤裡其他開啟的程式。
7. 直接存取檔案或資料夾
![]()
為了方便,
讓沙盤內的chrome.exe可以直接存取Chrome使用者設定檔,
和下載資料夾,將資料直接寫進真實系統。
8. 應用程式相容性
有些程式如果在沙盤中啟動使用起來不太方便,
所以開放讓沙盤內的程式可以直接和沙盤外的這些程式溝通,
而不用在沙盤中重複啟動這些軟體。
例子一:Chrome沙盤和Firefox沙盤都會用到下載管理員,
例如 Internet Download Manager (IDM) 來幫助檔案下載。
在這二個沙盤中重複創建IDM下載器不太有意義又浪費系統資源,
不如讓沙盤內的程式可以直接存取系統上、沙盤外的IDM下載器,
讓IDM在沙盤外運行,下載的東西也直接放在沙盤外。
相容的方法:SBIE有內建IDM的相容性範本,
在應用程式相容性設定中直接啟用IDM的範本即可。
![]()
![]()
例子二:Chrome沙盤和Firefox沙盤都會用到輸入法,
有些輸入法必須在在沙盤中重複創建程序才能使用,
或者是能使用但功能不正常。
例如新自然輸入法,當在沙盤中使用自然輸入法的時候,
Chrome沙盤和Firefox沙盤都會創建一個新的GoImeServer10.exe,
而不會使用系統上沙盤外已經啟動的GoImeServer10.exe,
變成系統上會有三個重複的GoImeServer10.exe,
而且使用者輸入的慣用辭典也會保存在三個不同的位置。
![]()
圖中是Firefox沙盤的情況,
背景色橄欖色的程序是Firefox沙盤中的程序,
firefox.exe所創建的子程序都會在這個沙盤裡,
可以看到沙盤中的程序完整性級別都是Untrusted,
當firefox.exe要使用自然輸入法的時候,
因為不能和沙盤外的GoImeServer10.exe通訊,
所以會在沙盤中重新創建一個GoImeServer10.exe程序來使用。
相容的方法:開啟 沙盒主控台->資源存取監視器,
![]()
在沙盤中啟動瀏覽器,切換到自然輸入法,
觀察資源存取監視器中,顯示被阻擋不能直接訪問的資源,
在 沙盤設定->資源存取 設定中,
讓沙盤直接存取這些被阻擋的資源。
例如要直接存取自然輸入法
在 資源存取->IPC存取->直接存取 中新增
\RPC Control\[email protected]/*
免費試用版比正式版少二個功能
1. 同時只能運行一個沙盤
例如 建立 Line_ID1/Line_ID2 二個沙盤,
同時只能運行其中一個Line,不能多開。
替代方法
只是要多開的話,改建立多個Windows使用者帳戶,
以"Run As..."工具,用不同使用者身份開啟運行。
2. 不能指定「程式/資料夾」強制從沙盤中開啟
例如:手動從沙盤中啟動Chrome瀏覽器,
而Line則放在沙盤外運行,
此時點擊Line裡面朋友傳送的連結,
會在沙盤外重新啟動一個獨立的chrome.exe視窗開啟連結,
而不會自動進入沙盤,在沙盤裡的Chrome開新分頁。
正式版可以指定chrome.exe強制從沙盤中開啟,
所以即使在沙盤外點擊連結,只要chrome.exe啟動,
就會自動進入指定的沙盤。
替代方法
修改Chrome快捷,將路徑改為
"C:\Program Files\Sandboxie\Start.exe"
/box:指定開啟的沙盤例如Default /nosbiectrl /hide_window
"chrome.exe的路徑"
這樣點擊這個捷徑就會自動從Default沙盤中開啟Chrome。
把Line也放入同樣的Default沙盤中運行,
這樣點擊Line的連結就會在沙盤裡的Chrome開啟。
不過我們不可能將系統上所有會用到Chrome的程式都放入沙盤裡執行,
所以正式版的自動強制入沙的功能還是比較方便。
和防毒軟體的相容性
BitDefender 2017 & WIN10
看起來一切正常
Kaspersky 2017 & WIN10
官方宣稱2017有相容SBIE,
實測Firefox和Chrome可以入沙,其他看起來也都正常,
但是從沙盤中開啟IE和Edge會無法關機,必須reset重啟系統,
所以不要用沙盤開IE和Edge,改用其他瀏覽器。
強化沙盤的限制和一些相容性設定
1. 限制程式啟動
例如Chrome沙盤中只允許chrome.exe可以啟動運行。
只允許chrome.exe啟動的話,有時候需要運行其他程式時,
SBIE就會彈出應用程式被限制無法啟動的訊息。
例如在Chrome瀏覽器中開啟資料夾瀏覽要上傳的檔案,
顯示縮圖預覽時會彈出無法啟動dllhost.exe的訊息。
此時在彈出的訊息上按隱藏,
以後就不會再彈出這個應用程式被限制啟動的訊息,
或者在訊息上雙擊,以後就會自動放行dllhost.exe。
2. 限制程式連網
例如Chrome沙盤中只允許chrome.exe可以連網
3. 降低更多權限
取消更多Chrome的權限的話有些服務就無法執行。
例如Chrome會使用在背景上傳資料的BITS服務,
勾取這個選項的話SBIE會彈出BITS服務無法啟動的錯誤訊息。
同樣如果不想看到這個錯誤訊息,在訊息上按隱藏就好,
或者雙擊放行這個權限。
4. 強制chrome.exe從這個沙盤中開啟
則沙盤外無論誰啟動chrome.exe,都會自動強制在這個沙盤中開啟。
這個功能是最重要的功能,只有正式版能用。
5. 指定資料夾下的程式或檔案一律強制在沙盤中開啟
例如可以設定「光碟機/USB隨身碟」所在的磁碟機為強制資料夾,
這樣當光碟片或USB插入時,autorun執行的程式會自動進入沙盤運行。
這個功能只有正式版能用。
6. 應用程式停止
見圖裡面的說明。
例如Chrome沙盤裡,chrome.exe結束運行後,
自動結束沙盤裡其他開啟的程式。
7. 直接存取檔案或資料夾
為了方便,
讓沙盤內的chrome.exe可以直接存取Chrome使用者設定檔,
和下載資料夾,將資料直接寫進真實系統。
8. 應用程式相容性
有些程式如果在沙盤中啟動使用起來不太方便,
所以開放讓沙盤內的程式可以直接和沙盤外的這些程式溝通,
而不用在沙盤中重複啟動這些軟體。
例子一:Chrome沙盤和Firefox沙盤都會用到下載管理員,
例如 Internet Download Manager (IDM) 來幫助檔案下載。
在這二個沙盤中重複創建IDM下載器不太有意義又浪費系統資源,
不如讓沙盤內的程式可以直接存取系統上、沙盤外的IDM下載器,
讓IDM在沙盤外運行,下載的東西也直接放在沙盤外。
相容的方法:SBIE有內建IDM的相容性範本,
在應用程式相容性設定中直接啟用IDM的範本即可。
例子二:Chrome沙盤和Firefox沙盤都會用到輸入法,
有些輸入法必須在在沙盤中重複創建程序才能使用,
或者是能使用但功能不正常。
例如新自然輸入法,當在沙盤中使用自然輸入法的時候,
Chrome沙盤和Firefox沙盤都會創建一個新的GoImeServer10.exe,
而不會使用系統上沙盤外已經啟動的GoImeServer10.exe,
變成系統上會有三個重複的GoImeServer10.exe,
而且使用者輸入的慣用辭典也會保存在三個不同的位置。
圖中是Firefox沙盤的情況,
背景色橄欖色的程序是Firefox沙盤中的程序,
firefox.exe所創建的子程序都會在這個沙盤裡,
可以看到沙盤中的程序完整性級別都是Untrusted,
當firefox.exe要使用自然輸入法的時候,
因為不能和沙盤外的GoImeServer10.exe通訊,
所以會在沙盤中重新創建一個GoImeServer10.exe程序來使用。
相容的方法:開啟 沙盒主控台->資源存取監視器,
在沙盤中啟動瀏覽器,切換到自然輸入法,
觀察資源存取監視器中,顯示被阻擋不能直接訪問的資源,
在 沙盤設定->資源存取 設定中,
讓沙盤直接存取這些被阻擋的資源。
例如要直接存取自然輸入法
在 資源存取->IPC存取->直接存取 中新增
\RPC Control\[email protected]/*
作者: liumang (Liumang) 2017-02-05 14:55:00
讚讚!! 感謝大大提供的教學 我卡在輸入法那邊超久了
作者: Chiardy (精實‧強悍‧七三八) 2017-02-07 19:49:00
謝謝您的專業資訊!
作者: canandmap (地圖上的流浪者) 2017-02-08 22:18:00
請教原po,如果是用嘸蝦米輸入法要如何設定相容性?
作者: kaoru7568 (鏡音俺嫁) 2017-02-08 23:02:00
感謝原PO,解決我很多觀念上的問題,自己硬吃官方文件還是有極限...
作者: mayuyu ((・ω・)ノ) 2017-02-11 17:38:00
我沒有用過嘸蝦米 您可能要自己測試看看
作者: DINJIAPC (鼎家) 2017-02-13 04:07:00
你要不要先研究一下為何卡巴放棄開發沙盤2012年有內建的呢
作者: canandmap (地圖上的流浪者) 2017-02-13 16:46:00
感謝原po~有空再試試
作者: F16V (Manners maketh man.) 2017-02-17 10:09:00
我也想知道無蝦怎麼設定+1
Links booklink
Contact Us: admin [ a t ] ucptt.com