V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
sky96111
V2EX  ›  互联网

鉴于 TIM/QQ 近日无下限侵犯隐私行为,分享一下我使用 Sandboxie 对 TIM 的配置

  •  1
     
  •   sky96111 · 2021-01-17 19:37:05 +08:00 · 14248 次点击
    这是一个创建于 1436 天前的主题,其中的信息可能已经有所发展或是发生改变。

    使用 Sandboxie 运行腾讯系软件已经 1 个月了,目前已经做到稳定使用无感知,分享一下调教方式。 版本为开源的 Sandboxie-Plus-x64-v0.5.4c

    重点:

    1. 为每个腾讯系软件创建自己的沙盒环境
    2. 全局设置-软件兼容性-勾选 Windows 10 Core UI (解决 2004 版微软拼音不能输入问题)
    3. 在各自的沙盒安装软件,安装完成后先不启动,终止所有进程
    4. 双击沙盒进入沙盒设置,选择 资源访问-添加文件夹-访问-closed 如:( C:\Users\用户名\AppData\Local 、C:\Users\用户名\.config 、C:\Users\用户名\.ssh )
    5. [QQ/TIM 特殊操作]沙盒设置-通用选项-自动启动 添加 QQprotect.exe 的路径
    6. 沙盒设置-停止行为-添加引导程序 TIM.exe|QQ.exe-添加驻留程序 QQProtect.exe
    7. 为软件创建快捷方式,打开软件,在沙盒内找到主进程,右键创建快捷方式

    可选: 关闭边界黄线

    说明:

    1. (不进行)操作 2 会导致不能输入中文,或者需要在微软拼音中选择启用兼容性旧版输入法
    2. 操作 4 将所有不希望 TIM 获取到的文件夹写入,记得访问调成 closed,不然默认允许访问
    3. 操作 5 仅 QQ 、TIM 需要,目的是启动沙盒时自动启动 QQProtect
    4. 操作 6 目的是引导程序 TIM 停止后,自动停止 QQProtect 运行,做到 QQProtect 只能在 TIM 运行时运行
    第 1 条附言  ·  2021-02-01 12:05:34 +08:00
    升级为 0.6.5 后建议把 closed 改为 hidden,TIM 将只能对自己创建的文件读写,阻止其他文件读取。与 closed 比新能提升巨大。
    38 条回复    2022-10-05 21:30:53 +08:00
    xinh
        1
    xinh  
       2021-01-17 19:40:19 +08:00 via iPhone
    学习一下
    assiadamo
        2
    assiadamo  
       2021-01-17 20:16:06 +08:00 via Android
    在沙盒中启动 tim 安装程序后,QQprotct 程序不在 Common files 下面,找不到,怎么办
    Jirajine
        3
    Jirajine  
       2021-01-17 20:16:54 +08:00   ❤️ 1
    用你说的这种配置法就和筛子一样根本堵不住,得有白名单(尚未实现: https://github.com/sandboxie-plus/Sandboxie/issues/194  )才勉强靠得住。
    大概规则得这样(伪代码):
    readonly C:\Windows # 允许访问系统库

    allow %APPDATA%\QQ # 程序自己的目录

    deny C:\Users # 所有用户数据
    deny D:\,E:\.... # 所有其他磁盘

    有了这些文件系统可以认为是相对安全了,但还有其他的什么 IPC 、硬件序列号、mac 地址、键盘 /鼠标事件、进程列表、屏幕上其他窗体的内容等一系列的可能性导致泄漏你的隐私。
    wevsty
        4
    wevsty  
       2021-01-17 20:21:01 +08:00   ❤️ 1
    QQProtect 我记得是有驱动的,沙盘禁止驱动加载的话不是应该会导致运行失败么?
    xctcc
        5
    xctcc  
       2021-01-17 20:26:30 +08:00
    话说玩 lol 不是也有个腾讯安全中心,这个对游戏玩家应该没啥用吧
    sky96111
        6
    sky96111  
    OP
       2021-01-17 20:36:01 +08:00
    @assiadamo 沙盒内安装,QQprotect 不在 Common files 里了,在沙盒目录\沙盒名称\drive\C\Program Files (x86)\Common Files\Tencent\QQProtect\Bin 里
    @Jirajine 因为我还需要 QQ 发送文件,我并不需要阻止它访问所有宿主机文件,我仅阻止了它访问 ssh 、clash 配置文件、和 appdata 。如果需要更高级别的保护,可以试试创建一个*加强*的沙盒,或者使用虚拟机
    @wevsty 我查了一下,应该是 QQ 有驱动,不是 QQprotect 。所以似乎 QQ 不能再沙盒中运行,TIM 没有驱动可以运行
    @xctcc 我没安装过这个软件,你可以试试。不过腾讯的反作弊好像是基于驱动的,沙盒中运行可能不行
    wevsty
        7
    wevsty  
       2021-01-17 20:44:44 +08:00
    @sky96111

    我看了一下,QQProtect.exe 是会加载驱动的,只不过好像加载失败的时候也允许运行。

    所以我更正一下。
    MakeItGreat
        8
    MakeItGreat  
       2021-01-17 20:51:44 +08:00 via Android
    请问楼主,这个软件有入门教程吗?真的没找到
    谢谢楼主
    wdy3334
        9
    wdy3334  
       2021-01-17 21:04:33 +08:00
    Sandboxie-Plus 和 Sandboxie 是什么关系
    sky96111
        10
    sky96111  
    OP
       2021-01-17 21:11:57 +08:00   ❤️ 1
    @wdy3334 Sandboxie 时 sandboxie-plus 和 sandboxie classic 的前身,前者闭源商业软件,后来开源。plus 用 QT 重置了界面,classic 保留原风格
    @MakeItGreat 国内教程很少,可能因为之前时收费软件。官方文档挺全面的,不过自己摸索也看得懂( https://sandboxie-plus.com/sandboxie/allpages/
    neqhqrim
        11
    neqhqrim  
       2021-01-17 21:14:49 +08:00   ❤️ 2
    用了 Sandboxie 很多年,明确的告诉你,Sandboxie 防不住国内毒瘤。
    mcone
        12
    mcone  
       2021-01-17 21:16:27 +08:00
    @xctcc tx 游戏的安全中心可是为了反作弊用的,沙箱什么的肯定早都被针对过了

    话说,既然都玩腾讯的游戏了,还担心腾讯扫描你硬盘吗?系统底层都被 hook 烂了吧,毕竟那么多黑产
    paradoxs
        13
    paradoxs  
       2021-01-17 21:18:08 +08:00
    sandboxie 的技术力量不够强,刚不过的。。。
    44670
        14
    44670  
       2021-01-17 21:19:22 +08:00
    第三步可以直接替换成 C:\Users\用户名 只写访问。只写访问设置后 app 在这个目录下只能看到它自己创建的文件。
    neqhqrim
        15
    neqhqrim  
       2021-01-17 21:21:05 +08:00   ❤️ 1
    @wdy3334 #9 Sandboxie 官方已经停止开发,最后一个版本是 5.33.6,现在已经开源。有人接手了这个开源项目,Sandboxie-Plus 是 Sandboxie 的分支,都是同一个人在弄。
    skadi
        16
    skadi  
       2021-01-17 21:28:58 +08:00
    对付流氓
    fk7881
        17
    fk7881  
       2021-01-18 01:41:40 +08:00
    第一点就做不到,TIM 在沙盒里边 就启动不了啊
    lindas
        18
    lindas  
       2021-01-18 02:05:54 +08:00
    @fk7881 是不是没启动 QQprotect.exe ?
    litmxs
        19
    litmxs  
       2021-01-18 02:25:02 +08:00 via Android
    建议直接上虚拟机吧
    JoJoJoJ
        20
    JoJoJoJ  
       2021-01-18 08:07:39 +08:00 via iPhone   ❤️ 4
    对付流氓最好的办法就是不用
    lovestudykid
        21
    lovestudykid  
       2021-01-18 08:07:40 +08:00
    QQprotect 只有在登录阶段会检测,登录后可以 kill 掉,可以写个 wrapper 把这几个操作连起来。
    vonsis
        22
    vonsis  
       2021-01-18 09:50:26 +08:00
    sandboxie 似乎不能默认阻止 qq.exe 访问全盘;这个软件它的策略主要是指定某些程序,有访问就复制到沙盘目录中去,无论改写与否,结束后就擦掉,以此来实现对系统没有影响的目的。
    这个软件的核心思路方向并非是为了保护隐私,而是为了阻止系统和用户文件被篡改。
    是否有其他 windows 上的软件可以实现“黑盒”而非“沙盒”的功能?
    比方说将一个 exe 或者程序组,设定到一个黑盒中,规定了这个黑盒只能读取(或写入)某些指定的文件 /文件夹以及其他系统资源
    Mai1me
        23
    Mai1me  
       2021-01-18 10:02:53 +08:00 via Android
    直接上虚拟机。
    beyondex
        24
    beyondex  
       2021-01-18 10:17:05 +08:00
    看了下回复,有用,但是不能完全解决,我很久以前是这么干的,设置一个特定权限的用户,然后用 runas 命令来运行 QQ 。
    这个用户只有很低的权限,无法访问其它文件夹。
    后来用 QQ UWP 或者 虚拟机,或者换 Mac 。。。。
    systemcall
        25
    systemcall  
       2021-01-18 10:23:15 +08:00
    @vonsis
    Windows 沙盒应该差不多就是那样吧。但是微软故意恶心用户,不是很好用
    限制不了 CPU 使用率和内存使用率,毒瘤可以调用所有的核心,不知道在干吗,CPU 使用率不低
    sky96111
        26
    sky96111  
    OP
       2021-01-18 10:57:55 +08:00 via Android
    @fk7881 需要先设置 qqprotect.exe 的自启路径
    @litmxs 更加全面的防护是只能虚拟机,但对我 surfacepro 这种轻薄本不太现实
    @lovestudykid 可以试试写 bat 脚本
    @vonsis 是,默认不阻止全盘,除非一开始设定沙盒为加强模式。有时我会需要用它给其他人发文件,所以我只用规则阻止了 sshkey 、clash config 和 appdata 。sandboxie 的白名单模式尚在开发,可能会在不久后出现。不发送文件的话设置加强沙盒更好一些
    fk7881
        27
    fk7881  
       2021-01-18 12:45:40 +08:00
    @lindas 用的是这个批处理,登录界面能打开,然后就卡那儿了,用任务管理器看处于挂起
    start "" "C:\Program Files\Sandboxie\Start.exe" /box:TIM "C:\Sandbox\fank8\TIM\drive\C\Program Files (x86)\Common Files\Tencent\QQProtect\Bin\QQProtect.exe"
    start "" "C:\Program Files\Sandboxie\Start.exe" /box:TIM "C:\Sandbox\fank8\TIM\user\current\AppData\Local\Tencent\TIM\Bin\TIM.exe"
    fk7881
        28
    fk7881  
       2021-01-18 12:47:26 +08:00
    @sky96111 似乎和 sandboxie 的版本有关系,我用的还是开源之前的版本,5.33.6
    NoirStrike
        29
    NoirStrike  
       2021-01-18 12:54:30 +08:00   ❤️ 1
    更想要一个类似火绒的文件访问过滤规则工具~
    不止是腾讯, 昨天也弹出了 YY 读取 chome 历史记录
    vonsis
        30
    vonsis  
       2021-01-19 17:33:14 +08:00
    @sky96111 期待有大佬开发基于开源 sandboxie 的“blackboxie”,程序放进去之后,默认运行时不允许访问任何系统资源,除非进行特定的允许,比方说桌面文件、E 盘、网络、摄像头、麦克风,等等。
    dj9399
        31
    dj9399  
       2021-01-20 16:48:52 +08:00
    正好下午在研究用 sandboxie 来隔离疼讯系,搜索到这来了。看完楼上大佬的回复,感觉 sandboxie 也解决不了,最后还是忍痛上虚拟机。感谢各位
    dj9399
        32
    dj9399  
       2021-01-20 17:14:21 +08:00
    已经用上虚拟机,顺便给大家推荐下我使用的系统:Windows 7 Ultimate SP1 7601 (老毛子のlopatkin 改装的 Windows 7 SP1 企业版简体中文精简版) 实装 TIM+微信后消耗 1G 内存,分配 1.5G 足矣
    vlitter
        33
    vlitter  
       2021-01-20 19:45:36 +08:00 via Android
    诶,我刚下的 0.5.5 版本,如果在沙盘设置的通用选项里勾选“禁用网络文件和文件夹”,难道不算是白名单模式吗?是不是我理解有问题。。。。
    sky96111
        34
    sky96111  
    OP
       2021-01-20 21:26:00 +08:00
    @vlitter 禁用网络文件和文件夹禁止的是防火墙允许规则外访问 smb 等网络文件的行为,需要禁止文件访问应该使用资源访问来限制
    vlitter
        35
    vlitter  
       2021-01-20 21:58:14 +08:00 via Android
    @sky96111 谢谢!看来我是理解错了,我一直以为是它的意思是网络和文件两部分。。。。真是脑子坏了
    sky96111
        36
    sky96111  
    OP
       2021-01-21 10:50:58 +08:00 via Android
    @vlitter 哈,这些翻译确实有点迷惑人,感觉不清楚的时候尽量还是开成英文来理解好一点(
    iamwin
        37
    iamwin  
       2021-02-23 21:49:46 +08:00
    QQprotect.exe
    tim2 版本还不检查这个的运行情况
    tim3 你 kill 掉这个直接 tim 也跟着不显示了

    现在 tim2 直接弹出版本低不让你登录,没办法了滚进虚拟机去吧
    JerryZhongJ
        38
    JerryZhongJ  
       2022-10-05 21:30:53 +08:00
    感谢楼主的配置。一年过去,有些配置信息不同了,我基于楼主的配置改进了一下,仅说不同的部分:
    1. 创建一个沙盘后,先不安装软件,先进入沙盘设置 - 资源访问 - 添加文件夹 - 添加 C:\Users 、C:\ProgramData - (仅沙盘内)只写。
    我只有一个分区 C ,个人数据都在 Users 里面。这样隔离粒度更大一点。或许其他地方也有隐私数据,欢迎补充。
    (仅沙盘内)只写模式表示在这个文件夹下,沙盘进程只能读到它创建出来的文件、文件夹,而不会看到本机的文件。而且所有改变发生在沙盘内。
    2. 在沙盘运行程序-浏览,此时沙盘内会初始化好用户文件夹。在沙盘外(本机上)打开 C:\sandbox\(用户名)\(沙盘名)\users\current 里面新建 Documents ,把 Tim\QQ\WeChat 安装文件放进去,再从沙盘的”运行程序“里运行安装文件。
    因为资源访问已经提前封禁了,这样安装会更安全点吧(大概)。
    3. 对于 Tim\QQ ,需要在沙盘设置 - 高级选项 - 杂项中勾选”不要改变由沙盘内程序创建的窗口类名“,否则会出现窗口不显示的情况。

    不足:
    1. 只隔离了部分文件,可能还有其他位置也有数据,我不太了解。只做了文件的隔离,进程间隔离、设备号什么的不太懂。。。
    2. 对于收发文件,现在只能在外面直接访问沙盘,创建符号链接可以更方便一点,暂时没想到更好的解决方法。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3356 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 49ms · UTC 11:48 · PVG 19:48 · LAX 03:48 · JFK 06:48
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.