首页 注册 登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
向日葵
广告
谢然前端培训
广告
sky96111
V2EX  ›  互联网

鉴于 TIM/QQ 近日无下限侵犯隐私行为,分享一下我使用 Sandboxie 对 TIM 的配置

  •  1      
  •   sky96111 · 48 天前 · 4146 次点击
    这是一个创建于 48 天前的主题,其中的信息可能已经有所发展或是发生改变。

    使用 Sandboxie 运行腾讯系软件已经 1 个月了,目前已经做到稳定使用无感知,分享一下调教方式。 版本为开源的 Sandboxie-Plus-x64-v0.5.4c

    重点:

    1. 为每个腾讯系软件创建自己的沙盒环境
    2. 全局设置-软件兼容性-勾选 Windows 10 Core UI (解决 2004 版微软拼音不能输入问题)
    3. 在各自的沙盒安装软件,安装完成后先不启动,终止所有进程
    4. 双击沙盒进入沙盒设置,选择 资源访问-添加文件夹-访问-closed 如:( C:\Users\用户名\AppData\Local 、C:\Users\用户名\.config 、C:\Users\用户名\.ssh )
    5. [QQ/TIM 特殊操作]沙盒设置-通用选项-自动启动 添加 QQprotect.exe 的路径
    6. 沙盒设置-停止行为-添加引导程序 TIM.exe|QQ.exe-添加驻留程序 QQProtect.exe
    7. 为软件创建快捷方式,打开软件,在沙盒内找到主进程,右键创建快捷方式

    可选: 关闭边界黄线

    说明:

    1. (不进行)操作 2 会导致不能输入中文,或者需要在微软拼音中选择启用兼容性旧版输入法
    2. 操作 4 将所有不希望 TIM 获取到的文件夹写入,记得访问调成 closed,不然默认允许访问
    3. 操作 5 仅 QQ 、TIM 需要,目的是启动沙盒时自动启动 QQProtect
    4. 操作 6 目的是引导程序 TIM 停止后,自动停止 QQProtect 运行,做到 QQProtect 只能在 TIM 运行时运行
    第 1 条附言  ·  33 天前
    升级为 0.6.5 后建议把 closed 改为 hidden,TIM 将只能对自己创建的文件读写,阻止其他文件读取。与 closed 比新能提升巨大。
  • 沙盒
  • Tim
  • qqprotect
  • QQ
    37 条回复    2021-02-23 21:49:46 +08:00
    xinh
        1
    xinh   48 天前 via iPhone
    学习一下
    assiadamo
        2
    assiadamo   48 天前 via Android
    在沙盒中启动 tim 安装程序后,QQprotct 程序不在 Common files 下面,找不到,怎么办
    Jirajine
        3
    Jirajine   48 天前   ❤️ 1
    用你说的这种配置法就和筛子一样根本堵不住,得有白名单(尚未实现: https://github.com/sandboxie-plus/Sandboxie/issues/194  )才勉强靠得住。
    大概规则得这样(伪代码):
    readonly C:\Windows # 允许访问系统库

    allow %APPDATA%\QQ # 程序自己的目录

    deny C:\Users # 所有用户数据
    deny D:\,E:\.... # 所有其他磁盘

    有了这些文件系统可以认为是相对安全了,但还有其他的什么 IPC 、硬件序列号、mac 地址、键盘 /鼠标事件、进程列表、屏幕上其他窗体的内容等一系列的可能性导致泄漏你的隐私。
    wevsty
        4
    wevsty   48 天前   ❤️ 1
    QQProtect 我记得是有驱动的,沙盘禁止驱动加载的话不是应该会导致运行失败么?
    xctcc
        5
    xctcc   48 天前
    话说玩 lol 不是也有个腾讯安全中心,这个对游戏玩家应该没啥用吧
    sky96111
        6
    sky96111   48 天前
    @assiadamo 沙盒内安装,QQprotect 不在 Common files 里了,在沙盒目录\沙盒名称\drive\C\Program Files (x86)\Common Files\Tencent\QQProtect\Bin 里
    @Jirajine 因为我还需要 QQ 发送文件,我并不需要阻止它访问所有宿主机文件,我仅阻止了它访问 ssh 、clash 配置文件、和 appdata 。如果需要更高级别的保护,可以试试创建一个*加强*的沙盒,或者使用虚拟机
    @wevsty 我查了一下,应该是 QQ 有驱动,不是 QQprotect 。所以似乎 QQ 不能再沙盒中运行,TIM 没有驱动可以运行
    @xctcc 我没安装过这个软件,你可以试试。不过腾讯的反作弊好像是基于驱动的,沙盒中运行可能不行
    wevsty
        7
    wevsty   48 天前
    @sky96111

    我看了一下,QQProtect.exe 是会加载驱动的,只不过好像加载失败的时候也允许运行。

    所以我更正一下。
    MakeItGreat
        8
    MakeItGreat   48 天前 via Android
    请问楼主,这个软件有入门教程吗?真的没找到
    谢谢楼主
    wdy3334
        9
    wdy3334   48 天前
    Sandboxie-Plus 和 Sandboxie 是什么关系
    sky96111
        10
    sky96111   48 天前   ❤️ 1
    @wdy3334 Sandboxie 时 sandboxie-plus 和 sandboxie classic 的前身,前者闭源商业软件,后来开源。plus 用 QT 重置了界面,classic 保留原风格
    @MakeItGreat 国内教程很少,可能因为之前时收费软件。官方文档挺全面的,不过自己摸索也看得懂( https://sandboxie-plus.com/sandboxie/allpages/
    neqhqrim
        11
    neqhqrim   48 天前   ❤️ 2
    用了 Sandboxie 很多年,明确的告诉你,Sandboxie 防不住国内毒瘤。
    mcone
        12
    mcone   48 天前
    @xctcc tx 游戏的安全中心可是为了反作弊用的,沙箱什么的肯定早都被针对过了

    话说,既然都玩腾讯的游戏了,还担心腾讯扫描你硬盘吗?系统底层都被 hook 烂了吧,毕竟那么多黑产
    paradoxs
        13
    paradoxs   48 天前
    sandboxie 的技术力量不够强,刚不过的。。。
    44670
        14
    44670   48 天前
    第三步可以直接替换成 C:\Users\用户名 只写访问。只写访问设置后 app 在这个目录下只能看到它自己创建的文件。
    neqhqrim
        15
    neqhqrim   48 天前   ❤️ 1
    @wdy3334 #9 Sandboxie 官方已经停止开发,最后一个版本是 5.33.6,现在已经开源。有人接手了这个开源项目,Sandboxie-Plus 是 Sandboxie 的分支,都是同一个人在弄。
    skadi
        16
    skadi   48 天前
    对付流氓
    fk7881
        17
    fk7881   47 天前
    第一点就做不到,TIM 在沙盒里边 就启动不了啊
    lindas
        18
    lindas   47 天前
    @fk7881 是不是没启动 QQprotect.exe ?
    litmxs
        19
    litmxs   47 天前 via Android
    建议直接上虚拟机吧
    JoJoJoJ
        20
    JoJoJoJ   47 天前 via iPhone   ❤️ 4
    对付流氓最好的办法就是不用
    lovestudykid
        21
    lovestudykid   47 天前
    QQprotect 只有在登录阶段会检测,登录后可以 kill 掉,可以写个 wrapper 把这几个操作连起来。
    vonsis
        22
    vonsis   47 天前
    sandboxie 似乎不能默认阻止 qq.exe 访问全盘;这个软件它的策略主要是指定某些程序,有访问就复制到沙盘目录中去,无论改写与否,结束后就擦掉,以此来实现对系统没有影响的目的。
    这个软件的核心思路方向并非是为了保护隐私,而是为了阻止系统和用户文件被篡改。
    是否有其他 windows 上的软件可以实现“黑盒”而非“沙盒”的功能?
    比方说将一个 exe 或者程序组,设定到一个黑盒中,规定了这个黑盒只能读取(或写入)某些指定的文件 /文件夹以及其他系统资源
    Mai1me
        23
    Mai1me   47 天前 via Android
    直接上虚拟机。
    beyondex
        24
    beyondex   47 天前
    看了下回复,有用,但是不能完全解决,我很久以前是这么干的,设置一个特定权限的用户,然后用 runas 命令来运行 QQ 。
    这个用户只有很低的权限,无法访问其它文件夹。
    后来用 QQ UWP 或者 虚拟机,或者换 Mac 。。。。
    systemcall
        25
    systemcall   47 天前
    @vonsis
    Windows 沙盒应该差不多就是那样吧。但是微软故意恶心用户,不是很好用
    限制不了 CPU 使用率和内存使用率,毒瘤可以调用所有的核心,不知道在干吗,CPU 使用率不低
    sky96111
        26
    sky96111   47 天前 via Android
    @fk7881 需要先设置 qqprotect.exe 的自启路径
    @litmxs 更加全面的防护是只能虚拟机,但对我 surfacepro 这种轻薄本不太现实
    @lovestudykid 可以试试写 bat 脚本
    @vonsis 是,默认不阻止全盘,除非一开始设定沙盒为加强模式。有时我会需要用它给其他人发文件,所以我只用规则阻止了 sshkey 、clash config 和 appdata 。sandboxie 的白名单模式尚在开发,可能会在不久后出现。不发送文件的话设置加强沙盒更好一些
    fk7881
        27
    fk7881   47 天前
    @lindas 用的是这个批处理,登录界面能打开,然后就卡那儿了,用任务管理器看处于挂起
    start "" "C:\Program Files\Sandboxie\Start.exe" /box:TIM "C:\Sandbox\fank8\TIM\drive\C\Program Files (x86)\Common Files\Tencent\QQProtect\Bin\QQProtect.exe"
    start "" "C:\Program Files\Sandboxie\Start.exe" /box:TIM "C:\Sandbox\fank8\TIM\user\current\AppData\Local\Tencent\TIM\Bin\TIM.exe"
    fk7881
        28
    fk7881   47 天前
    @sky96111 似乎和 sandboxie 的版本有关系,我用的还是开源之前的版本,5.33.6
    NoirStrike
        29
    NoirStrike   47 天前   ❤️ 1
    更想要一个类似火绒的文件访问过滤规则工具~
    不止是腾讯, 昨天也弹出了 YY 读取 chome 历史记录
    vonsis
        30
    vonsis   46 天前
    @sky96111 期待有大佬开发基于开源 sandboxie 的“blackboxie”,程序放进去之后,默认运行时不允许访问任何系统资源,除非进行特定的允许,比方说桌面文件、E 盘、网络、摄像头、麦克风,等等。
    dj9399
        31
    dj9399   45 天前
    正好下午在研究用 sandboxie 来隔离疼讯系,搜索到这来了。看完楼上大佬的回复,感觉 sandboxie 也解决不了,最后还是忍痛上虚拟机。感谢各位
    dj9399
        32
    dj9399   45 天前
    已经用上虚拟机,顺便给大家推荐下我使用的系统:Windows 7 Ultimate SP1 7601 (老毛子のlopatkin 改装的 Windows 7 SP1 企业版简体中文精简版) 实装 TIM+微信后消耗 1G 内存,分配 1.5G 足矣
    vlitter
        33
    vlitter   45 天前 via Android
    诶,我刚下的 0.5.5 版本,如果在沙盘设置的通用选项里勾选“禁用网络文件和文件夹”,难道不算是白名单模式吗?是不是我理解有问题。。。。
    sky96111
        34
    sky96111   45 天前
    @vlitter 禁用网络文件和文件夹禁止的是防火墙允许规则外访问 smb 等网络文件的行为,需要禁止文件访问应该使用资源访问来限制
    vlitter
        35
    vlitter   45 天前 via Android
    @sky96111 谢谢!看来我是理解错了,我一直以为是它的意思是网络和文件两部分。。。。真是脑子坏了
    sky96111
        36
    sky96111   44 天前 via Android
    @vlitter 哈,这些翻译确实有点迷惑人,感觉不清楚的时候尽量还是开成英文来理解好一点(
    iamwin
        37
    iamwin   11 天前
    QQprotect.exe
    tim2 版本还不检查这个的运行情况
    tim3 你 kill 掉这个直接 tim 也跟着不显示了

    现在 tim2 直接弹出版本低不让你登录,没办法了滚进虚拟机去吧
    关于   ·   帮助文档   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2916 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 14:30 · PVG 22:30 · LAX 06:30 · JFK 09:30
    ♥ Do have faith in what you're doing.