【下載】Sandboxie (沙盤) - 微型影子系統



贊助商連結


FYI
2007-02-19, 06:11 PM
http://www.sandboxie.com/img/FrontPageSystem2.png
Sandboxie (http://www.sandboxie.com/)

The illustration shows the key component of Sandboxie: a transient storage area, or sandbox. Data flows in both directions between programs and the sandbox. During read operations, data may flow from the hard disk into the sandbox. But data never flows back from the sandbox into the hard disk.

不論是使用PsExec, SAFER 或是RunAs, 其防護都是局部的, 如果需要全面性的防護, 不妨考慮 "用完就丟" 或 "拋棄式" 的 "影子系統 (http://www.powershadow.com/)", 不過小弟在此舉出另外一個介於SAFER 和 "影子系統" 之間的 "微型影子系統" - Sandboxie (沙盤), Sandboxie 原本只是針對Internet Explorer 所開發出來的 "影子系統", 然而根據其說明, 事實上可以不侷限於IE, 而且功能也不僅只於虛擬磁碟, 關於應用上, 不妨參考其FAQ, 比較Sandboxie, SAFER 和 "影子系統" 的不同, 採用SAFER 很容易遇上權限不足的問題, "影子系統" 純粹只是虛擬磁碟, 而Sandboxie 不但可以針對個別的應用程式建立虛擬磁碟, 而且Sandboxie 攔截的不僅是檔案存取, 還包含了修改登錄檔和程序等等, 因此不但可以保有SAFER 和 "影子系統" 的安全性, 而且還多了應用上的彈性, 有了Sandboxie 之後, 您不再需要以SAFER 限制應用程式的權限, 也不需要如同 "影子系統" 重啟就能恢復舊觀, 所有的功能都可以在Sandboxie Control 之下受到控制, 另外, 如同ShadowUser 一樣, Sandboxie 控制之下的檔案也可以透過專屬介面, 複製到Sandboxie 之外

使用Sandboxie 有幾點需要特別留意的地方:
Sandboxie 不像 "影子系統" 和Windows 那樣緊密結合, Sandboxie 攔截磁碟存取是在Windows 完全載入之後, 由Control.exe 載入Sandbox.sys 才完成, 所以Sandboxie 載入前後, 最好還是配合防毒軟體才比較安全
Sandboxie 所建立的虛擬磁碟, 除了列於OpenFilePath (http://www.sandboxie.com/index.php?OpenFilePath) 的檔案匣之外, 其他只能被Sandboxie 控制之下的應用程式所存取, Sandboxie 控制之外的應用程式, 包含防毒軟體, 都無法存取Sandboxie 的虛擬磁碟, 這點有別於 "影子系統", 所有的應用程式, 包含防毒軟體, 都只能存取 "影子系統" 的虛擬磁碟
Sandboxie 主要應用 (http://www.sandboxie.com/index.php?FrequentlyAskedQuestions#SandboxablePrograms)還是在於網路, 並非任何軟體都能在Sandboxie 之下執行

Sandboxie - Frequently Asked Questions (http://www.sandboxie.com/index.php?FrequentlyAskedQuestions)

【轉貼】PowerShadow-方便安全的軟體測試平台 - PCZONE 討論區 (http://www.pczone.com.tw/thread/67/128466/#post931863)
【教學】Mark's Blog : Running as Limited User - the Easy Way - PCZONE 討論區 (http://www.pczone.com.tw/thread/28/130957/)

贊助商連結


ta788923
2007-10-27, 09:21 PM
這套軟體跟returnil比起來,應該更有彈性吧?!

真希望有中文的介面跟說明~~這樣更好安裝測試!!!

FYI
2007-10-28, 04:55 AM
您的意思是Sandboxie 比較有彈性嗎? 嚴格說起來應該是比較有針對性, 因為Sandboxie 主要針對網路和檔案總管(和IE 緊密結合)而設計, 對其他軟體無效, 優點是使用及結束均不需重啟Windows, 而PowerShadow 和Returnil Virtual System (http://www.returnilvirtualsystem.com/index_files/rvspersonal.htm) 則必須關機才能解除保護, 比較不便

不過小弟想再提醒一點, 由Sandboxie 介紹看來, Sandboxie 所保護的似乎只有 "Storage", 可能並不包含 "Memory", 小弟並不確定由 "Freecell" 所觸發的惡意軟體(應該屬於Sandboxie 的子程序)是否會隨Sandboxie 結束而結束, 這點小弟暫時存疑, 留待專家驗證

小弟當初覺得Sandboxie 功能並不完備, 所以並未仔細研究, 經您提醒, Sandboxie 還是有其優點, 尤其近來網頁病毒肆虐, 若是可將惡意網頁關在Sandboxie 之內, 而不影響其他辦公作業(Office 等)習慣, 小弟會再好好研究該如何應用

ta788923
2007-10-28, 09:26 AM
昨日安裝了Sandboxie 3.02 ~~
使用maxthon2 瀏覽器來測~~

發現在沙盤中使用的速度,
跟直接執行的速度無明顯差異~~

倒是使用ROBOFORM時,登入的新網頁,會開啟在新的未保護的MAXTHON2中~~這點真的比較不便!

試了這些軟體,覺得RVS比較全面,除了回復要重開機較為不便,對C:保護效果真的周全多了!!!

FYI
2007-10-28, 04:38 PM
測試本來就是很繁瑣的事情, 這也正是小弟並未仔細研究的原因, 如果真的需要Sandboxie 的便利性, 自然就會設法配合它, 請您研究Sandboxie 時, 先以IE 和Firefox 作為測試工具, 或者 "僅能執行一個Maxthon 實體", 至於外掛, 請留意是否由Freecell 或瀏覽器所開啟, 而不是預先開啟(不受Sandboxie 控制), 事實上瀏覽器可能無法獨立運作, 例如JavaVM 就是預先開啟, 若Freecell 呼叫JavaVM, 那麼是否可以受到Sandboxie 控制(Sandboxie 的子程序)? 這也是小弟不確定的地方, 除此之外還有WMP, RealPlayer 等等, Sandboxie 是否全部考慮到了? 令人存疑, 您不妨研讀一下Sandboxie FAQ

FYI
2007-10-29, 04:48 PM
您不妨將Sandboxie 視為PowerShadow 或Returnil Virtual System 的縮小版, 如果您像小弟一樣對Sandboxie 不太放心, 那麼您可以結合Sandboxie 和Psexec, 讓Sandboxie 之下的程式權限受到限制, 即使發生Sandboxie 控管不到的情形, 至少也無法入侵系統核心, 方法是先建立PsExec + 應用程式的捷徑, 例如Firefox 的捷徑:

"C:\Program Files\Sysinternals\psexec.exe" -d -l "C:\Program Files\Mozilla Firefox\firefox.exe"
然後再由Sandboxie Start Menu 執行Firefox 的捷徑, 您可以由Procecss Explorer 觀察到Firefox 的權限是 "Deny,Owner", 證明是 "受限制的用戶", 而Firefox 標題前後出現 "#", 代表受到Sandboxie 控制

此外, 小弟也發現Sandboxie 的一個特性, 也就是會替應用程式建立新的環境, 例如, 如果您設定Firefox 開啟上次瀏覽的網頁, 那麼Sandboxie 之內和之外的Firefox 會開啟不同的網頁, 這個特性讓小弟產生一點疑慮, 也就是Sandboxie 雖然可以將瀏覽器限制住, 但是瀏覽器的紀錄並不會恢復原狀, 所以更精確的說, Sandboxie 更像是專為瀏覽器設計的虛擬機, 然而這個虛擬環境又和真實環境藕斷絲連(請以Process Explorer 觀察), 所以小弟的疑慮就是Sandboxie 之下的環境仍會中毒, 仍然需要掃毒, 病毒不會自動消失, 是否會透過記憶體感染真實環境, 小弟不得而知

請以Process Explorer 比較Sandboxie 和虛擬機行為的不同, 小弟以最容易上手的Virtualbox 為例, 以Virtualbox 開啟一個虛擬環境, 您只會看到一個Virtualbox 程序, 您無法得知Virtualbox 執行了什麼, 但是在Sandboxie 之下, 您可以分辨Sandboxie 所啟用的程序, 小弟並不熟悉虛擬機, 不過以此看來, 由Sandboxie 所執行的程序仍有可能影響真實環境, 這就是小弟對Sandboxie 安全性存疑之處

您也可以像小弟一樣, 以SAFER 永遠將Maxthon 設為受限制的用戶, 之所以不以SAFER 對Firefox 永久設限, 是因為Firefox 不像Maxthon, 必要時可以用IE 替代, 一旦Firefox 設限之後, 可能沒有足夠權限安裝外掛或更新, 改來改去很麻煩, 所以小弟的習慣是將受限的Maxthon 設為預設的瀏覽器, IE 不設限, 由IE 安裝外掛, 例如Flash Player 或ActiveX plugin, 而Maxthon 只要啟用IE 外掛即可, 比較危險且需要啟用JavaScript 的網頁則交給Firefox, 希望如此能幫助您度過即將到來的寒冬

FYI
2008-06-15, 07:40 PM
No More Worries When Running Untrusted Programs » Raymond.CC Blog (http://www.raymond.cc/blog/archives/2007/10/05/no-more-worries-when-running-untrusted-programs/)
How To Investigate Suspicious File using Sandboxie » Raymond.CC Blog (http://www.raymond.cc/blog/archives/2007/11/02/how-to-investigate-suspicious-file-using-sandboxie/)

FYI
2009-03-20, 03:58 PM
在眾多沙盤之中, 似乎Sandboxie 仍然是較佳的選擇

更多的 Sandbox 工具 | 資安之眼 (http://www.itis.tw/node/10)