鉴于 TIM/QQ 近日无下限侵犯隐私行为,分享一下我使用 Sandboxie 对 TIM 的配置
sky96111 · 2021-01-17 19:37:05 +08:00 · 14103 次点击这是一个创建于 1398 天前的主题,其中的信息可能已经有所发展或是发生改变。
使用 Sandboxie 运行腾讯系软件已经 1 个月了,目前已经做到稳定使用无感知,分享一下调教方式。 版本为开源的 Sandboxie-Plus-x64-v0.5.4c
重点:
- 为每个腾讯系软件创建自己的沙盒环境
- 全局设置-软件兼容性-勾选 Windows 10 Core UI (解决 2004 版微软拼音不能输入问题)
- 在各自的沙盒安装软件,安装完成后先不启动,终止所有进程
- 双击沙盒进入沙盒设置,选择 资源访问-添加文件夹-访问-closed 如:( C:\Users\用户名\AppData\Local 、C:\Users\用户名\.config 、C:\Users\用户名\.ssh )
- [QQ/TIM 特殊操作]沙盒设置-通用选项-自动启动 添加 QQprotect.exe 的路径
- 沙盒设置-停止行为-添加引导程序 TIM.exe|QQ.exe-添加驻留程序 QQProtect.exe
- 为软件创建快捷方式,打开软件,在沙盒内找到主进程,右键创建快捷方式
可选: 关闭边界黄线
说明:
- (不进行)操作 2 会导致不能输入中文,或者需要在微软拼音中选择启用兼容性旧版输入法
- 操作 4 将所有不希望 TIM 获取到的文件夹写入,记得访问调成 closed,不然默认允许访问
- 操作 5 仅 QQ 、TIM 需要,目的是启动沙盒时自动启动 QQProtect
- 操作 6 目的是引导程序 TIM 停止后,自动停止 QQProtect 运行,做到 QQProtect 只能在 TIM 运行时运行
第 1 条附言 · 2021-02-01 12:05:34 +08:00
升级为 0.6.5 后建议把 closed 改为 hidden,TIM 将只能对自己创建的文件读写,阻止其他文件读取。与 closed 比新能提升巨大。
 |
1
xinh 2021-01-17 19:40:19 +08:00 via iPhone
学习一下
|
 |
2
assiadamo 2021-01-17 20:16:06 +08:00 via Android
在沙盒中启动 tim 安装程序后,QQprotct 程序不在 Common files 下面,找不到,怎么办
|
 |
3
Jirajine 2021-01-17 20:16:54 +08:00  1
用你说的这种配置法就和筛子一样根本堵不住,得有白名单(尚未实现: https://github.com/sandboxie-plus/Sandboxie/issues/194 )才勉强靠得住。
大概规则得这样(伪代码): readonly C:\Windows # 允许访问系统库 allow %APPDATA%\QQ # 程序自己的目录 deny C:\Users # 所有用户数据 deny D:\,E:\.... # 所有其他磁盘 有了这些文件系统可以认为是相对安全了,但还有其他的什么 IPC 、硬件序列号、mac 地址、键盘 /鼠标事件、进程列表、屏幕上其他窗体的内容等一系列的可能性导致泄漏你的隐私。 |
 |
4
wevsty 2021-01-17 20:21:01 +08:00 1
QQProtect 我记得是有驱动的,沙盘禁止驱动加载的话不是应该会导致运行失败么?
|
 |
5
xctcc 2021-01-17 20:26:30 +08:00
话说玩 lol 不是也有个腾讯安全中心,这个对游戏玩家应该没啥用吧
|
 |
6
sky96111 OP @assiadamo 沙盒内安装,QQprotect 不在 Common files 里了,在沙盒目录\沙盒名称\drive\C\Program Files (x86)\Common Files\Tencent\QQProtect\Bin 里
@Jirajine 因为我还需要 QQ 发送文件,我并不需要阻止它访问所有宿主机文件,我仅阻止了它访问 ssh 、clash 配置文件、和 appdata 。如果需要更高级别的保护,可以试试创建一个*加强*的沙盒,或者使用虚拟机 @wevsty 我查了一下,应该是 QQ 有驱动,不是 QQprotect 。所以似乎 QQ 不能再沙盒中运行,TIM 没有驱动可以运行 @xctcc 我没安装过这个软件,你可以试试。不过腾讯的反作弊好像是基于驱动的,沙盒中运行可能不行 |
|
7
wevsty 2021-01-17 20:44:44 +08:00
|
 |
8
MakeItGreat 2021-01-17 20:51:44 +08:00 via Android
请问楼主,这个软件有入门教程吗?真的没找到
谢谢楼主 |
 |
9
wdy3334 2021-01-17 21:04:33 +08:00
Sandboxie-Plus 和 Sandboxie 是什么关系
 |
|
10
sky96111 OP 1
@wdy3334 Sandboxie 时 sandboxie-plus 和 sandboxie classic 的前身,前者闭源商业软件,后来开源。plus 用 QT 重置了界面,classic 保留原风格
@MakeItGreat 国内教程很少,可能因为之前时收费软件。官方文档挺全面的,不过自己摸索也看得懂( https://sandboxie-plus.com/sandboxie/allpages/ |
 |
11
neqhqrim 2021-01-17 21:14:49 +08:00 2
用了 Sandboxie 很多年,明确的告诉你,Sandboxie 防不住国内毒瘤。
|
 |
12
mcone 2021-01-17 21:16:27 +08:00
|
 |
13
paradoxs 2021-01-17 21:18:08 +08:00
sandboxie 的技术力量不够强,刚不过的。。。
|
 |
14
44670 2021-01-17 21:19:22 +08:00
第三步可以直接替换成 C:\Users\用户名 只写访问。只写访问设置后 app 在这个目录下只能看到它自己创建的文件。
|
|
15
neqhqrim 2021-01-17 21:21:05 +08:00 1
@wdy3334 #9 Sandboxie 官方已经停止开发,最后一个版本是 5.33.6,现在已经开源。有人接手了这个开源项目,Sandboxie-Plus 是 Sandboxie 的分支,都是同一个人在弄。
|
 |
16
skadi 2021-01-17 21:28:58 +08:00
对付流氓
|
 |
17
fk7881 2021-01-18 01:41:40 +08:00
第一点就做不到,TIM 在沙盒里边 就启动不了啊
|
 |
19
litmxs 2021-01-18 02:25:02 +08:00 via Android
建议直接上虚拟机吧
|
 |
20
JoJoJoJ 2021-01-18 08:07:39 +08:00 via iPhone 4
对付流氓最好的办法就是不用
|
 |
21
lovestudykid 2021-01-18 08:07:40 +08:00
QQprotect 只有在登录阶段会检测,登录后可以 kill 掉,可以写个 wrapper 把这几个操作连起来。
|
 |
22
vonsis 2021-01-18 09:50:26 +08:00
sandboxie 似乎不能默认阻止 qq.exe 访问全盘;这个软件它的策略主要是指定某些程序,有访问就复制到沙盘目录中去,无论改写与否,结束后就擦掉,以此来实现对系统没有影响的目的。
这个软件的核心思路方向并非是为了保护隐私,而是为了阻止系统和用户文件被篡改。 是否有其他 windows 上的软件可以实现“黑盒”而非“沙盒”的功能? 比方说将一个 exe 或者程序组,设定到一个黑盒中,规定了这个黑盒只能读取(或写入)某些指定的文件 /文件夹以及其他系统资源 |
 |
23
Mai1me 2021-01-18 10:02:53 +08:00 via Android
直接上虚拟机。
|
 |
24
beyondex 2021-01-18 10:17:05 +08:00
看了下回复,有用,但是不能完全解决,我很久以前是这么干的,设置一个特定权限的用户,然后用 runas 命令来运行 QQ 。
这个用户只有很低的权限,无法访问其它文件夹。 后来用 QQ UWP 或者 虚拟机,或者换 Mac 。。。。 |
 |
25
systemcall 2021-01-18 10:23:15 +08:00
|
|
26
sky96111 OP @fk7881 需要先设置 qqprotect.exe 的自启路径
@litmxs 更加全面的防护是只能虚拟机,但对我 surfacepro 这种轻薄本不太现实 @lovestudykid 可以试试写 bat 脚本 @vonsis 是,默认不阻止全盘,除非一开始设定沙盒为加强模式。有时我会需要用它给其他人发文件,所以我只用规则阻止了 sshkey 、clash config 和 appdata 。sandboxie 的白名单模式尚在开发,可能会在不久后出现。不发送文件的话设置加强沙盒更好一些 |
|
27
fk7881 2021-01-18 12:45:40 +08:00
@lindas 用的是这个批处理,登录界面能打开,然后就卡那儿了,用任务管理器看处于挂起
start "" "C:\Program Files\Sandboxie\Start.exe" /box:TIM "C:\Sandbox\fank8\TIM\drive\C\Program Files (x86)\Common Files\Tencent\QQProtect\Bin\QQProtect.exe" start "" "C:\Program Files\Sandboxie\Start.exe" /box:TIM "C:\Sandbox\fank8\TIM\user\current\AppData\Local\Tencent\TIM\Bin\TIM.exe" |
 |
29
NoirStrike 2021-01-18 12:54:30 +08:00 1
更想要一个类似火绒的文件访问过滤规则工具~
不止是腾讯, 昨天也弹出了 YY 读取 chome 历史记录 |
|
30
vonsis 2021-01-19 17:33:14 +08:00
@sky96111 期待有大佬开发基于开源 sandboxie 的“blackboxie”,程序放进去之后,默认运行时不允许访问任何系统资源,除非进行特定的允许,比方说桌面文件、E 盘、网络、摄像头、麦克风,等等。
|
 |
31
dj9399 2021-01-20 16:48:52 +08:00
正好下午在研究用 sandboxie 来隔离疼讯系,搜索到这来了。看完楼上大佬的回复,感觉 sandboxie 也解决不了,最后还是忍痛上虚拟机。感谢各位
|
|
32
dj9399 2021-01-20 17:14:21 +08:00
已经用上虚拟机,顺便给大家推荐下我使用的系统:Windows 7 Ultimate SP1 7601 (老毛子のlopatkin 改装的 Windows 7 SP1 企业版简体中文精简版) 实装 TIM+微信后消耗 1G 内存,分配 1.5G 足矣
|
 |
33
vlitter 2021-01-20 19:45:36 +08:00 via Android
诶,我刚下的 0.5.5 版本,如果在沙盘设置的通用选项里勾选“禁用网络文件和文件夹”,难道不算是白名单模式吗?是不是我理解有问题。。。。
|
|
34
sky96111 OP @vlitter 禁用网络文件和文件夹禁止的是防火墙允许规则外访问 smb 等网络文件的行为,需要禁止文件访问应该使用资源访问来限制
|
|
35
vlitter 2021-01-20 21:58:14 +08:00 via Android
@sky96111 谢谢!看来我是理解错了,我一直以为是它的意思是网络和文件两部分。。。。真是脑子坏了
|
|
36
sky96111 OP @vlitter 哈,这些翻译确实有点迷惑人,感觉不清楚的时候尽量还是开成英文来理解好一点(
|
 |
37
iamwin 2021-02-23 21:49:46 +08:00
QQprotect.exe
tim2 版本还不检查这个的运行情况 tim3 你 kill 掉这个直接 tim 也跟着不显示了 现在 tim2 直接弹出版本低不让你登录,没办法了滚进虚拟机去吧 |
 |
38
JerryZhongJ 2022-10-05 21:30:53 +08:00
感谢楼主的配置。一年过去,有些配置信息不同了,我基于楼主的配置改进了一下,仅说不同的部分:
1. 创建一个沙盘后,先不安装软件,先进入沙盘设置 - 资源访问 - 添加文件夹 - 添加 C:\Users 、C:\ProgramData - (仅沙盘内)只写。 我只有一个分区 C ,个人数据都在 Users 里面。这样隔离粒度更大一点。或许其他地方也有隐私数据,欢迎补充。 (仅沙盘内)只写模式表示在这个文件夹下,沙盘进程只能读到它创建出来的文件、文件夹,而不会看到本机的文件。而且所有改变发生在沙盘内。 2. 在沙盘运行程序-浏览,此时沙盘内会初始化好用户文件夹。在沙盘外(本机上)打开 C:\sandbox\(用户名)\(沙盘名)\users\current 里面新建 Documents ,把 Tim\QQ\WeChat 安装文件放进去,再从沙盘的”运行程序“里运行安装文件。 因为资源访问已经提前封禁了,这样安装会更安全点吧(大概)。 3. 对于 Tim\QQ ,需要在沙盘设置 - 高级选项 - 杂项中勾选”不要改变由沙盘内程序创建的窗口类名“,否则会出现窗口不显示的情况。 不足: 1. 只隔离了部分文件,可能还有其他位置也有数据,我不太了解。只做了文件的隔离,进程间隔离、设备号什么的不太懂。。。 2. 对于收发文件,现在只能在外面直接访问沙盘,创建符号链接可以更方便一点,暂时没想到更好的解决方法。 |
Select Language