鉴于 TIM/QQ 近日无下限侵犯隐私行为,分享一下我使用 Sandboxie 对 TIM 的配置

2021-01-17 19:37:05 +08:00
 sky96111

使用 Sandboxie 运行腾讯系软件已经 1 个月了,目前已经做到稳定使用无感知,分享一下调教方式。 版本为开源的 Sandboxie-Plus-x64-v0.5.4c

重点:

  1. 为每个腾讯系软件创建自己的沙盒环境
  2. 全局设置-软件兼容性-勾选 Windows 10 Core UI (解决 2004 版微软拼音不能输入问题)
  3. 在各自的沙盒安装软件,安装完成后先不启动,终止所有进程
  4. 双击沙盒进入沙盒设置,选择 资源访问-添加文件夹-访问-closed 如:( C:\Users\用户名\AppData\Local 、C:\Users\用户名\.config 、C:\Users\用户名\.ssh )
  5. [QQ/TIM 特殊操作]沙盒设置-通用选项-自动启动 添加 QQprotect.exe 的路径
  6. 沙盒设置-停止行为-添加引导程序 TIM.exe|QQ.exe-添加驻留程序 QQProtect.exe
  7. 为软件创建快捷方式,打开软件,在沙盒内找到主进程,右键创建快捷方式

可选: 关闭边界黄线

说明:

  1. (不进行)操作 2 会导致不能输入中文,或者需要在微软拼音中选择启用兼容性旧版输入法
  2. 操作 4 将所有不希望 TIM 获取到的文件夹写入,记得访问调成 closed,不然默认允许访问
  3. 操作 5 仅 QQ 、TIM 需要,目的是启动沙盒时自动启动 QQProtect
  4. 操作 6 目的是引导程序 TIM 停止后,自动停止 QQProtect 运行,做到 QQProtect 只能在 TIM 运行时运行
14364 次点击
所在节点    互联网
38 条回复
lovestudykid
2021-01-18 08:07:40 +08:00
QQprotect 只有在登录阶段会检测,登录后可以 kill 掉,可以写个 wrapper 把这几个操作连起来。
vonsis
2021-01-18 09:50:26 +08:00
sandboxie 似乎不能默认阻止 qq.exe 访问全盘;这个软件它的策略主要是指定某些程序,有访问就复制到沙盘目录中去,无论改写与否,结束后就擦掉,以此来实现对系统没有影响的目的。
这个软件的核心思路方向并非是为了保护隐私,而是为了阻止系统和用户文件被篡改。
是否有其他 windows 上的软件可以实现“黑盒”而非“沙盒”的功能?
比方说将一个 exe 或者程序组,设定到一个黑盒中,规定了这个黑盒只能读取(或写入)某些指定的文件 /文件夹以及其他系统资源
Mai1me
2021-01-18 10:02:53 +08:00
直接上虚拟机。
beyondex
2021-01-18 10:17:05 +08:00
看了下回复,有用,但是不能完全解决,我很久以前是这么干的,设置一个特定权限的用户,然后用 runas 命令来运行 QQ 。
这个用户只有很低的权限,无法访问其它文件夹。
后来用 QQ UWP 或者 虚拟机,或者换 Mac 。。。。
systemcall
2021-01-18 10:23:15 +08:00
@vonsis
Windows 沙盒应该差不多就是那样吧。但是微软故意恶心用户,不是很好用
限制不了 CPU 使用率和内存使用率,毒瘤可以调用所有的核心,不知道在干吗,CPU 使用率不低
sky96111
2021-01-18 10:57:55 +08:00
@fk7881 需要先设置 qqprotect.exe 的自启路径
@litmxs 更加全面的防护是只能虚拟机,但对我 surfacepro 这种轻薄本不太现实
@lovestudykid 可以试试写 bat 脚本
@vonsis 是,默认不阻止全盘,除非一开始设定沙盒为加强模式。有时我会需要用它给其他人发文件,所以我只用规则阻止了 sshkey 、clash config 和 appdata 。sandboxie 的白名单模式尚在开发,可能会在不久后出现。不发送文件的话设置加强沙盒更好一些
fk7881
2021-01-18 12:45:40 +08:00
@lindas 用的是这个批处理,登录界面能打开,然后就卡那儿了,用任务管理器看处于挂起
start "" "C:\Program Files\Sandboxie\Start.exe" /box:TIM "C:\Sandbox\fank8\TIM\drive\C\Program Files (x86)\Common Files\Tencent\QQProtect\Bin\QQProtect.exe"
start "" "C:\Program Files\Sandboxie\Start.exe" /box:TIM "C:\Sandbox\fank8\TIM\user\current\AppData\Local\Tencent\TIM\Bin\TIM.exe"
fk7881
2021-01-18 12:47:26 +08:00
@sky96111 似乎和 sandboxie 的版本有关系,我用的还是开源之前的版本,5.33.6
NoirStrike
2021-01-18 12:54:30 +08:00
更想要一个类似火绒的文件访问过滤规则工具~
不止是腾讯, 昨天也弹出了 YY 读取 chome 历史记录
vonsis
2021-01-19 17:33:14 +08:00
@sky96111 期待有大佬开发基于开源 sandboxie 的“blackboxie”,程序放进去之后,默认运行时不允许访问任何系统资源,除非进行特定的允许,比方说桌面文件、E 盘、网络、摄像头、麦克风,等等。
dj9399
2021-01-20 16:48:52 +08:00
正好下午在研究用 sandboxie 来隔离疼讯系,搜索到这来了。看完楼上大佬的回复,感觉 sandboxie 也解决不了,最后还是忍痛上虚拟机。感谢各位
dj9399
2021-01-20 17:14:21 +08:00
已经用上虚拟机,顺便给大家推荐下我使用的系统:Windows 7 Ultimate SP1 7601 (老毛子のlopatkin 改装的 Windows 7 SP1 企业版简体中文精简版) 实装 TIM+微信后消耗 1G 内存,分配 1.5G 足矣
vlitter
2021-01-20 19:45:36 +08:00
诶,我刚下的 0.5.5 版本,如果在沙盘设置的通用选项里勾选“禁用网络文件和文件夹”,难道不算是白名单模式吗?是不是我理解有问题。。。。
sky96111
2021-01-20 21:26:00 +08:00
@vlitter 禁用网络文件和文件夹禁止的是防火墙允许规则外访问 smb 等网络文件的行为,需要禁止文件访问应该使用资源访问来限制
vlitter
2021-01-20 21:58:14 +08:00
@sky96111 谢谢!看来我是理解错了,我一直以为是它的意思是网络和文件两部分。。。。真是脑子坏了
sky96111
2021-01-21 10:50:58 +08:00
@vlitter 哈,这些翻译确实有点迷惑人,感觉不清楚的时候尽量还是开成英文来理解好一点(
iamwin
2021-02-23 21:49:46 +08:00
QQprotect.exe
tim2 版本还不检查这个的运行情况
tim3 你 kill 掉这个直接 tim 也跟着不显示了

现在 tim2 直接弹出版本低不让你登录,没办法了滚进虚拟机去吧
JerryZhongJ
2022-10-05 21:30:53 +08:00
感谢楼主的配置。一年过去,有些配置信息不同了,我基于楼主的配置改进了一下,仅说不同的部分:
1. 创建一个沙盘后,先不安装软件,先进入沙盘设置 - 资源访问 - 添加文件夹 - 添加 C:\Users 、C:\ProgramData - (仅沙盘内)只写。
我只有一个分区 C ,个人数据都在 Users 里面。这样隔离粒度更大一点。或许其他地方也有隐私数据,欢迎补充。
(仅沙盘内)只写模式表示在这个文件夹下,沙盘进程只能读到它创建出来的文件、文件夹,而不会看到本机的文件。而且所有改变发生在沙盘内。
2. 在沙盘运行程序-浏览,此时沙盘内会初始化好用户文件夹。在沙盘外(本机上)打开 C:\sandbox\(用户名)\(沙盘名)\users\current 里面新建 Documents ,把 Tim\QQ\WeChat 安装文件放进去,再从沙盘的”运行程序“里运行安装文件。
因为资源访问已经提前封禁了,这样安装会更安全点吧(大概)。
3. 对于 Tim\QQ ,需要在沙盘设置 - 高级选项 - 杂项中勾选”不要改变由沙盘内程序创建的窗口类名“,否则会出现窗口不显示的情况。

不足:
1. 只隔离了部分文件,可能还有其他位置也有数据,我不太了解。只做了文件的隔离,进程间隔离、设备号什么的不太懂。。。
2. 对于收发文件,现在只能在外面直接访问沙盘,创建符号链接可以更方便一点,暂时没想到更好的解决方法。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://tanronggui.xyz/t/745704

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX