之前用虚拟机来隔离环境,但是虚拟机占比较多的资源,而且用起来也很麻烦,我也试过物理隔离,专门弄一台电脑运行国产软件,操作另一台电脑也很麻烦我不喜欢,所以我现在用服务器来运行虚拟机,然后rdp连上去用,但是软件的流畅度终究会大受影响,就打算试一下沙盒,不过还需要另外的配置,不能开箱即用。
为什么是国产,因为只有国产才会把正常软件做成毒瘤,我本来是不想用的,但是因为工作不用不行,国外要毒瘤就是纯粹的毒瘤留个心眼就好,直接不用就行了,国内软件留一万个心眼都没用,不能相信任何软件不会搞捆绑读隐私。
我放个图自行体会即可,这个是阿里旺旺的安全检测程序,实际上让这个程序不运行不影响阿里旺旺,可能就是专门用来窃取隐私的,而且精明得很,不读配置,解密流量多麻烦,tls没shor之前还解密不了,直接读log不就知道访问了什么了吗,大多数人的日志级别默认是info,不会特地换到低级别,日常使用最好是silent,除非遇到问题了不然不应该记录日志
我看网上很多教程全是扯淡,根本起不到任何的保护作用,我就打算自己捣鼓测试一下,测试方法为用软件的传文件功能看能否上传希望保护的文件/目录。
先到官网下载安装包然后安装。
正确的做法就是把软件装进沙盒中(在沙盒中打开安装程序即可,安装路径可以随便选),这么做的好处很明显,程序只存在于沙盒内的目录避免在沙盒外运行,有什么驻留进程一眼便知,可以轻松全终止掉,但不这么干也不是不行。
如果已经安装也不想卸载,下面的操作有关于这个的做法,
黑名单
先说一下黑名单,就是普通沙盒,只拒绝沙盒程序访问敏感文件,这是免费功能。
刚进程序会看到这样一个界面。
可以只用默认沙盒,也可以新建沙盒,我就以默认沙盒为例,先双击DefaultBox编辑沙盒,编辑资源访问标签,比如这样编辑,像代理的配置文件和日志,浏览器浏览记录等都是高度敏感文件
点击右边的”添加文件/文件夹”,然后双击某个条目,输入希望保护的路径,把访问改成封禁,两个*是我手动输上去的。
比如*chrome*,举个例子”C:\1111\1111chrome111.txt”和”C:\1111chrome1111\1.txt”这两个文件全都在保护范围内,文件的绝对路径中包含了chrome这个字符串就全在保护范围内,所以只需要知道文件平时会保存到什么文件夹名中,不需要知道具体路径。
保存好沙盒的配置后,回到初始界面,就该设置国产软件不允许在沙盒外运行了,点击上方的选项-全局设置-程序控制,像这样添加文件夹
注意要勾选”阻止下列程序在此系统中启动”,添加完点确定保存好再次回到初始界面。
接下来就应该让程序在沙盒中启动了,可以把程序的图标拖进沙盒的界面,也可以右键程序选择”在沙盒中运行”,比如我打开了qq。
但是每次都这样很麻烦,所以在在沙盒打开程序后设置一下快捷方式。
比如qq,可以选择强制入此沙盒,然后每次直接打开qq就会直接在沙盒中运行了,不过这样可能会有点问题。到底是什么原因我也没搞清楚,但大多数情况是没有问题的。
也可以”创建快捷方式”到喜欢的地方比如桌面。
也可以固定到运行菜单,效果是这样的
想要在其他电脑运行一模一样的配置就导出这个沙盒在其他地方导入。
白名单
然后来说下白名单,这个功能不是免费的,一般情况黑名单是足够的,毕竟隐私文件就那么点地方,很好处理。
如果赞助过拿到凭据像这样将一段凭据输入到上面的大框点确定即可
我不提供破解版以及如何寻找破解版的方法,需要的自己去找。
白名单就是数据保护沙盒,保护的对象是除了几个程序肯定需要的路径外所有文件,如果从一开始就将软件装在数据保护沙盒里一般不用加白名单,所有需要的文件在安装时就会创建。
可以额外添加白名单允许文件读写某些目录,数据保护沙盒需要注意很多东西,如果少加了什么会导致程序完全运行不起来。
寻找完整的白名单可以先在普通沙盒中运行一下,然后右键沙盒-沙盒内容-浏览文件
点开后会看到这样界面,大部分可以直接用*Tencent*来表示,让qq允许访问所有路径带有Tencent的文件,不过很明显还有一些文件不符合这个标准,不需要管drive中的文件,那个一般都是自动授权的一些路径,如果有问题那就是敏感操作了,将文件夹的+都点开,根据这个图中所示,大部分路径已经显示出来了,找到其中看起来没有敏感文件的目录,就可以开始下一步了
先新建一个带有数据保护的沙盒,是不是需要带有安全强化看个人喜好,比如我这里就带有安全强化
双击编辑刚刚新建的qq沙盒,根据刚才得到的程序运行所依赖的一些文件,就像这样把路径添加进来
然后按照之前黑名单的方法来限制运行和加入沙盒运行。这样的限制非常大,比如qq传文件的时候得放到白名单目录里或者沙盒目录之类的,如果出现什么功能用不了就换到普通沙盒里用一下那个功能看看有没有多出来需要什么文件,然后资源访问里加白名单。
对于不能用这个方法的软件
我上面的举例都是qq,对于大多数已安装的软件,上面这些就足够了。
而有些程序上面的方法用不了,就把安装程序运行在沙盒,在沙盒中安装,从一开始就选数据保护沙盒即可,需要模拟管理员权限和禁用即时恢复,由于我们需要程序全程保持在沙盒中,恢复是没有必要的,模拟管理员权限可以让安装程序安全的安装在沙盒内不会漏出来,在安装完后切换到数据保护加固型沙盒看看能不能运行,如果可以就这么干,如果不行就只用数据保护也可以
如果遇到安装不了的,就先用普通沙盒安装,装完再换到数据保护沙盒,比如我遇到过的就有阿里旺旺。
如果还是用不了,基本上是沙盒的兼容性问题,那就只能装进虚拟机了,比如1.11.4开始才能正常运行钉钉(阿里问题就是多)。
不同的系统版本、不同的软件版本、不同的沙盒版本都可能出现不同的问题或不出现问题,我遇到的问题在其他时候未必会出问题,需要自己慢慢尝试。
