鉴于 TIM/QQ 近日无下限侵犯隐私行为,分享一下我使用 Sandboxie 对 TIM 的配置
sky96111 2021-01-17 19:37:05 +08:00 15550 次点击这是一个创建于 1781 天前的主题,其中的信息可能已经有所发展或是发生改变。
使用 Sandboxie 运行腾讯系软件已经 1 个月了,目前已经做到稳定使用无感知,分享一下调教方式。 版本为开源的 Sandboxie-Plus-x64-v0.5.4c
重点:
- 为每个腾讯系软件创建自己的沙盒环境
- 全局设置-软件兼容性-勾选 Windows 10 Core UI (解决 2004 版微软拼音不能输入问题)
- 在各自的沙盒安装软件,安装完成后先不启动,终止所有进程
- 双击沙盒进入沙盒设置,选择 资源访问-添加文件夹-访问-closed 如:( C:\Users\用户名\AppData\Local 、C:\Users\用户名\.config 、C:\Users\用户名\.ssh )
- [QQ/TIM 特殊操作]沙盒设置-通用选项-自动启动 添加 QQprotect.exe 的路径
- 沙盒设置-停止行为-添加引导程序 TIM.exe|QQ.exe-添加驻留程序 QQProtect.exe
- 为软件创建快捷方式,打开软件,在沙盒内找到主进程,右键创建快捷方式
可选: 关闭边界黄线
说明:
- (不进行)操作 2 会导致不能输入中文,或者需要在微软拼音中选择启用兼容性旧版输入法
- 操作 4 将所有不希望 TIM 获取到的文件夹写入,记得访问调成 closed,不然默认允许访问
- 操作 5 仅 QQ 、TIM 需要,目的是启动沙盒时自动启动 QQProtect
- 操作 6 目的是引导程序 TIM 停止后,自动停止 QQProtect 运行,做到 QQProtect 只能在 TIM 运行时运行
第 1 条附言 2021-02-01 12:05:34 +08:00
升级为 0.6.5 后建议把 closed 改为 hidden,TIM 将只能对自己创建的文件读写,阻止其他文件读取。与 closed 比新能提升巨大。
 | 1 xinh 2021-01-17 19:40:19 +08:00 via iPhone 学习一下 |
 | 2 assiadamo 2021-01-17 20:16:06 +08:00 via Android 在沙盒中启动 tim 安装程序后,QQprotct 程序不在 Common files 下面,找不到,怎么办 |
 | 3 Jirajine 2021-01-17 20:16:54 +08:00  1 用你说的这种配置法就和筛子一样根本堵不住,得有白名单(尚未实现: https://github.com/sandboxie-plus/Sandboxie/issues/194 )才勉强靠得住。 大概规则得这样(伪代码): readonly C:\Windows # 允许访问系统库 allow %APPDATA%\QQ # 程序自己的目录 deny C:\Users # 所有用户数据 deny D:\,E:\.... # 所有其他磁盘 有了这些文件系统可以认为是相对安全了,但还有其他的什么 IPC 、硬件序列号、mac 地址、键盘 /鼠标事件、进程列表、屏幕上其他窗体的内容等一系列的可能性导致泄漏你的隐私。 |
 | 4 wevsty 2021-01-17 20:21:01 +08:00 1 QQProtect 我记得是有驱动的,沙盘禁止驱动加载的话不是应该会导致运行失败么? |
 | 5 xctcc 2021-01-17 20:26:30 +08:00 话说玩 lol 不是也有个腾讯安全中心,这个对游戏玩家应该没啥用吧 |
 | 6 sky96111 OP @assiadamo 沙盒内安装,QQprotect 不在 Common files 里了,在沙盒目录\沙盒名称\drive\C\Program Files (x86)\Common Files\Tencent\QQProtect\Bin 里 @Jirajine 因为我还需要 QQ 发送文件,我并不需要阻止它访问所有宿主机文件,我仅阻止了它访问 ssh 、clash 配置文件、和 appdata 。如果需要更高级别的保护,可以试试创建一个*加强*的沙盒,或者使用虚拟机 @wevsty 我查了一下,应该是 QQ 有驱动,不是 QQprotect 。所以似乎 QQ 不能再沙盒中运行,TIM 没有驱动可以运行 @xctcc 我没安装过这个软件,你可以试试。不过腾讯的反作弊好像是基于驱动的,沙盒中运行可能不行 |
| 7 wevsty 2021-01-17 20:44:44 +08:00 |
 | 8 MakeItGreat 2021-01-17 20:51:44 +08:00 via Android 请问楼主,这个软件有入门教程吗?真的没找到 谢谢楼主 |
 | 9 wdy3334 2021-01-17 21:04:33 +08:00 Sandboxie-Plus 和 Sandboxie 是什么关系  |
| 10 sky96111 OP 1 @wdy3334 Sandboxie 时 sandboxie-plus 和 sandboxie classic 的前身,前者闭源商业软件,后来开源。plus 用 QT 重置了界面,classic 保留原风格 @MakeItGreat 国内教程很少,可能因为之前时收费软件。官方文档挺全面的,不过自己摸索也看得懂( https://sandboxie-plus.com/sandboxie/allpages/ |
 | 11 neqhqrim 2021-01-17 21:14:49 +08:00 2 用了 Sandboxie 很多年,明确的告诉你,Sandboxie 防不住国内毒瘤。 |
 | 12 mcone 2021-01-17 21:16:27 +08:00 |
 | 13 paradoxs 2021-01-17 21:18:08 +08:00 sandboxie 的技术力量不够强,刚不过的。。。 |
 | 14 44670 2021-01-17 21:19:22 +08:00 第三步可以直接替换成 C:\Users\用户名 只写访问。只写访问设置后 app 在这个目录下只能看到它自己创建的文件。 |
| 15 neqhqrim 2021-01-17 21:21:05 +08:00 1 @wdy3334 #9 Sandboxie 官方已经停止开发,最后一个版本是 5.33.6,现在已经开源。有人接手了这个开源项目,Sandboxie-Plus 是 Sandboxie 的分支,都是同一个人在弄。 |
 | 16 skadi 2021-01-17 21:28:58 +08:00 对付流氓 |
 | 17 fk7881 2021-01-18 01:41:40 +08:00 第一点就做不到,TIM 在沙盒里边 就启动不了啊 |
 | 19 litmxs 2021-01-18 02:25:02 +08:00 via Android 建议直接上虚拟机吧 |
 | 20 JoJoJoJ 2021-01-18 08:07:39 +08:00 via iPhone 4 对付流氓最好的办法就是不用 |
 | 21 lovestudykid 2021-01-18 08:07:40 +08:00 QQprotect 只有在登录阶段会检测,登录后可以 kill 掉,可以写个 wrapper 把这几个操作连起来。 |
 | 22 vonsis 2021-01-18 09:50:26 +08:00 sandboxie 似乎不能默认阻止 qq.exe 访问全盘;这个软件它的策略主要是指定某些程序,有访问就复制到沙盘目录中去,无论改写与否,结束后就擦掉,以此来实现对系统没有影响的目的。 这个软件的核心思路方向并非是为了保护隐私,而是为了阻止系统和用户文件被篡改。 是否有其他 windows 上的软件可以实现“黑盒”而非“沙盒”的功能? 比方说将一个 exe 或者程序组,设定到一个黑盒中,规定了这个黑盒只能读取(或写入)某些指定的文件 /文件夹以及其他系统资源 |
 | 23 Mai1me 2021-01-18 10:02:53 +08:00 via Android 直接上虚拟机。 |
 | 24 beyondex 2021-01-18 10:17:05 +08:00 看了下回复,有用,但是不能完全解决,我很久以前是这么干的,设置一个特定权限的用户,然后用 runas 命令来运行 QQ 。 这个用户只有很低的权限,无法访问其它文件夹。 后来用 QQ UWP 或者 虚拟机,或者换 Mac 。。。。 |
 | 25 systemcall 2021-01-18 10:23:15 +08:00 |
| 26 sky96111 OP @fk7881 需要先设置 qqprotect.exe 的自启路径 @litmxs 更加全面的防护是只能虚拟机,但对我 surfacepro 这种轻薄本不太现实 @lovestudykid 可以试试写 bat 脚本 @vonsis 是,默认不阻止全盘,除非一开始设定沙盒为加强模式。有时我会需要用它给其他人发文件,所以我只用规则阻止了 sshkey 、clash config 和 appdata 。sandboxie 的白名单模式尚在开发,可能会在不久后出现。不发送文件的话设置加强沙盒更好一些 |
27 fk7881 2021-01-18 12:45:40 +08:00 @lindas 用的是这个批处理,登录界面能打开,然后就卡那儿了,用任务管理器看处于挂起 start "" "C:\Program Files\Sandboxie\Start.exe" /box:TIM "C:\Sandbox\fank8\TIM\drive\C\Program Files (x86)\Common Files\Tencent\QQProtect\Bin\QQProtect.exe" start "" "C:\Program Files\Sandboxie\Start.exe" /box:TIM "C:\Sandbox\fank8\TIM\user\current\AppData\Local\Tencent\TIM\Bin\TIM.exe" |
 | 29 NoirStrike 2021-01-18 12:54:30 +08:00 1 更想要一个类似火绒的文件访问过滤规则工具~ 不止是腾讯, 昨天也弹出了 YY 读取 chome 历史记录 |
| 30 vonsis 2021-01-19 17:33:14 +08:00 @sky96111 期待有大佬开发基于开源 sandboxie 的“blackboxie”,程序放进去之后,默认运行时不允许访问任何系统资源,除非进行特定的允许,比方说桌面文件、E 盘、网络、摄像头、麦克风,等等。 |
 | 31 dj9399 2021-01-20 16:48:52 +08:00 正好下午在研究用 sandboxie 来隔离疼讯系,搜索到这来了。看完楼上大佬的回复,感觉 sandboxie 也解决不了,最后还是忍痛上虚拟机。感谢各位 |
| 32 dj9399 2021-01-20 17:14:21 +08:00 已经用上虚拟机,顺便给大家推荐下我使用的系统:Windows 7 Ultimate SP1 7601 (老毛子のlopatkin 改装的 Windows 7 SP1 企业版简体中文精简版) 实装 TIM+微信后消耗 1G 内存,分配 1.5G 足矣 |
 | 33 vlitter 2021-01-20 19:45:36 +08:00 via Android 诶,我刚下的 0.5.5 版本,如果在沙盘设置的通用选项里勾选“禁用网络文件和文件夹”,难道不算是白名单模式吗?是不是我理解有问题。。。。 |
34 sky96111 OP @vlitter 禁用网络文件和文件夹禁止的是防火墙允许规则外访问 smb 等网络文件的行为,需要禁止文件访问应该使用资源访问来限制 |
| 35 vlitter 2021-01-20 21:58:14 +08:00 via Android @sky96111 谢谢!看来我是理解错了,我一直以为是它的意思是网络和文件两部分。。。。真是脑子坏了 |
| 36 sky96111 OP @vlitter 哈,这些翻译确实有点迷惑人,感觉不清楚的时候尽量还是开成英文来理解好一点( |
 | 37 iamwin 2021-02-23 21:49:46 +08:00 QQprotect.exe tim2 版本还不检查这个的运行情况 tim3 你 kill 掉这个直接 tim 也跟着不显示了 现在 tim2 直接弹出版本低不让你登录,没办法了滚进虚拟机去吧 |
 | 38 JerryZhongJ 2022-10-05 21:30:53 +08:00 感谢楼主的配置。一年过去,有些配置信息不同了,我基于楼主的配置改进了一下,仅说不同的部分: 1. 创建一个沙盘后,先不安装软件,先进入沙盘设置 - 资源访问 - 添加文件夹 - 添加 C:\Users 、C:\ProgramData - (仅沙盘内)只写。 我只有一个分区 C ,个人数据都在 Users 里面。这样隔离粒度更大一点。或许其他地方也有隐私数据,欢迎补充。 (仅沙盘内)只写模式表示在这个文件夹下,沙盘进程只能读到它创建出来的文件、文件夹,而不会看到本机的文件。而且所有改变发生在沙盘内。 2. 在沙盘运行程序-浏览,此时沙盘内会初始化好用户文件夹。在沙盘外(本机上)打开 C:\sandbox\(用户名)\(沙盘名)\users\current 里面新建 Documents ,把 Tim\QQ\WeChat 安装文件放进去,再从沙盘的”运行程序“里运行安装文件。 因为资源访问已经提前封禁了,这样安装会更安全点吧(大概)。 3. 对于 Tim\QQ ,需要在沙盘设置 - 高级选项 - 杂项中勾选”不要改变由沙盘内程序创建的窗口类名“,否则会出现窗口不显示的情况。 不足: 1. 只隔离了部分文件,可能还有其他位置也有数据,我不太了解。只做了文件的隔离,进程间隔离、设备号什么的不太懂。。。 2. 对于收发文件,现在只能在外面直接访问沙盘,创建符号链接可以更方便一点,暂时没想到更好的解决方法。 |
Select Language