FYI
2007-02-19, 06:11 PM
http://www.sandboxie.com/img/FrontPageSystem2.png
Sandboxie (http://www.sandboxie.com/)
The illustration shows the key component of Sandboxie: a transient storage area, or sandbox. Data flows in both directions between programs and the sandbox. During read operations, data may flow from the hard disk into the sandbox. But data never flows back from the sandbox into the hard disk.
不論是使用PsExec, SAFER 或是RunAs, 其防護都是局部的, 如果需要全面性的防護, 不妨考慮 "用完就丟" 或 "拋棄式" 的 "影子系統 (http://www.powershadow.com/)", 不過小弟在此舉出另外一個介於SAFER 和 "影子系統" 之間的 "微型影子系統" - Sandboxie (沙盤), Sandboxie 原本只是針對Internet Explorer 所開發出來的 "影子系統", 然而根據其說明, 事實上可以不侷限於IE, 而且功能也不僅只於虛擬磁碟, 關於應用上, 不妨參考其FAQ, 比較Sandboxie, SAFER 和 "影子系統" 的不同, 採用SAFER 很容易遇上權限不足的問題, "影子系統" 純粹只是虛擬磁碟, 而Sandboxie 不但可以針對個別的應用程式建立虛擬磁碟, 而且Sandboxie 攔截的不僅是檔案存取, 還包含了修改登錄檔和程序等等, 因此不但可以保有SAFER 和 "影子系統" 的安全性, 而且還多了應用上的彈性, 有了Sandboxie 之後, 您不再需要以SAFER 限制應用程式的權限, 也不需要如同 "影子系統" 重啟就能恢復舊觀, 所有的功能都可以在Sandboxie Control 之下受到控制, 另外, 如同ShadowUser 一樣, Sandboxie 控制之下的檔案也可以透過專屬介面, 複製到Sandboxie 之外
使用Sandboxie 有幾點需要特別留意的地方:
Sandboxie 不像 "影子系統" 和Windows 那樣緊密結合, Sandboxie 攔截磁碟存取是在Windows 完全載入之後, 由Control.exe 載入Sandbox.sys 才完成, 所以Sandboxie 載入前後, 最好還是配合防毒軟體才比較安全
Sandboxie 所建立的虛擬磁碟, 除了列於OpenFilePath (http://www.sandboxie.com/index.php?OpenFilePath) 的檔案匣之外, 其他只能被Sandboxie 控制之下的應用程式所存取, Sandboxie 控制之外的應用程式, 包含防毒軟體, 都無法存取Sandboxie 的虛擬磁碟, 這點有別於 "影子系統", 所有的應用程式, 包含防毒軟體, 都只能存取 "影子系統" 的虛擬磁碟
Sandboxie 主要應用 (http://www.sandboxie.com/index.php?FrequentlyAskedQuestions#SandboxablePrograms)還是在於網路, 並非任何軟體都能在Sandboxie 之下執行
Sandboxie - Frequently Asked Questions (http://www.sandboxie.com/index.php?FrequentlyAskedQuestions)
【轉貼】PowerShadow-方便安全的軟體測試平台 - PCZONE 討論區 (http://www.pczone.com.tw/thread/67/128466/#post931863)
【教學】Mark's Blog : Running as Limited User - the Easy Way - PCZONE 討論區 (http://www.pczone.com.tw/thread/28/130957/)
贊助商連結
Sandboxie (http://www.sandboxie.com/)
The illustration shows the key component of Sandboxie: a transient storage area, or sandbox. Data flows in both directions between programs and the sandbox. During read operations, data may flow from the hard disk into the sandbox. But data never flows back from the sandbox into the hard disk.
不論是使用PsExec, SAFER 或是RunAs, 其防護都是局部的, 如果需要全面性的防護, 不妨考慮 "用完就丟" 或 "拋棄式" 的 "影子系統 (http://www.powershadow.com/)", 不過小弟在此舉出另外一個介於SAFER 和 "影子系統" 之間的 "微型影子系統" - Sandboxie (沙盤), Sandboxie 原本只是針對Internet Explorer 所開發出來的 "影子系統", 然而根據其說明, 事實上可以不侷限於IE, 而且功能也不僅只於虛擬磁碟, 關於應用上, 不妨參考其FAQ, 比較Sandboxie, SAFER 和 "影子系統" 的不同, 採用SAFER 很容易遇上權限不足的問題, "影子系統" 純粹只是虛擬磁碟, 而Sandboxie 不但可以針對個別的應用程式建立虛擬磁碟, 而且Sandboxie 攔截的不僅是檔案存取, 還包含了修改登錄檔和程序等等, 因此不但可以保有SAFER 和 "影子系統" 的安全性, 而且還多了應用上的彈性, 有了Sandboxie 之後, 您不再需要以SAFER 限制應用程式的權限, 也不需要如同 "影子系統" 重啟就能恢復舊觀, 所有的功能都可以在Sandboxie Control 之下受到控制, 另外, 如同ShadowUser 一樣, Sandboxie 控制之下的檔案也可以透過專屬介面, 複製到Sandboxie 之外
使用Sandboxie 有幾點需要特別留意的地方:
Sandboxie 不像 "影子系統" 和Windows 那樣緊密結合, Sandboxie 攔截磁碟存取是在Windows 完全載入之後, 由Control.exe 載入Sandbox.sys 才完成, 所以Sandboxie 載入前後, 最好還是配合防毒軟體才比較安全
Sandboxie 所建立的虛擬磁碟, 除了列於OpenFilePath (http://www.sandboxie.com/index.php?OpenFilePath) 的檔案匣之外, 其他只能被Sandboxie 控制之下的應用程式所存取, Sandboxie 控制之外的應用程式, 包含防毒軟體, 都無法存取Sandboxie 的虛擬磁碟, 這點有別於 "影子系統", 所有的應用程式, 包含防毒軟體, 都只能存取 "影子系統" 的虛擬磁碟
Sandboxie 主要應用 (http://www.sandboxie.com/index.php?FrequentlyAskedQuestions#SandboxablePrograms)還是在於網路, 並非任何軟體都能在Sandboxie 之下執行
Sandboxie - Frequently Asked Questions (http://www.sandboxie.com/index.php?FrequentlyAskedQuestions)
【轉貼】PowerShadow-方便安全的軟體測試平台 - PCZONE 討論區 (http://www.pczone.com.tw/thread/67/128466/#post931863)
【教學】Mark's Blog : Running as Limited User - the Easy Way - PCZONE 討論區 (http://www.pczone.com.tw/thread/28/130957/)
贊助商連結