查看完整版本: 【02-08】sandboxie使用指南+常见问题解答(定期更新)

【02-08】sandboxie使用指南+常见问题解答(定期更新)

写在前面
本人只是个菜鸟,实力有限.随便写点心得.
[color=red]我花了一天的时间整理和写这东西,里面每个字都是我打出来的.!!虽然写的不怎么样,但是希望大家想用sandboxie的朋友认真看一下吧[/color][color=crimson]
*******原创by hzqedison@2dai本文禁止转载,转载请经本人允许*******[/color]
文章首发
剑盟[url=http://bbs.2dai.com/]http://bbs.2dai.com[/url]
木蚂蚁[url=http://bbs.mumayi.net/]http://bbs.mumayi.net[/url]
远景晟地[url=http://bbs.pcvista.cn]http://bbs.pcvista.cn[/url]

sandboxie分类:
一直不知道这个属于什么类软件,去了老外的论坛,分的很清楚,属于hips软件.这样区分出来.
----hips
  ----sandbox
    ----sandboxie

又在老外论坛发现投票类
sandbox 投票是最高的 超过了"主动防御"(图1)[attach]154212[/attach]  

而sandbox类里 又是sandboxie得票最多 (图2) [attach]154211[/attach]

虽然投票有一个局限性,但是他还是能说明一定的问题.
同时老外写了Proactive Protection: a Panacea for Viruses?(主动防御:对付病毒的灵丹妙药?)
[url=http://www.viruslist.com/en/analysis?pubid=189801874]http://www.viruslist.com/en/analysis?pubid=189801874[/url]
也同样说明Proactive Protection投票没sandbox高的一些原因吧

[color=blue]Sandboxie有个很好的亮点,有[b]磁盘底层防护[/b],这个意味着可以防killdisk这类恶性病毒,我想具有这个保护的hips好像不多,从国外论坛了解 目前好像只有这几款hips有磁盘底层保护 Neoava Guard/ Prosecurity/SSM 包括最近比较流行的sns gss等都没有这个保护!![/color]

所以决定写下这个sandboxie使用指南+心得吧,软件的说明在2.64好像官方就删除了,还好我那是留了一份,有兴趣的可以附件下载

[size=6][color=red]本人操作即帖子的内容是根据2.64正式版本写成的一些方法(如查看注册表)在2.7Xbeta不能成功[/color]
[/size]
[color=crimson]什么是sandboxie?[/color]


[list]
------个人认为这个软件 分开理解 你就知道了:sandbox-ie-->在一个沙箱运行ie
可能是作者起初定义只是将ie模块保护起来吧.
随着版本的升级,sandboxie不只是只能运行ie了,提升到了可以运行任何程序.
--->可以看做一个虚拟系统(vm\vpc类)
[/list]


[color=crimson]那如何去理解这个虚拟系统呢?[/color]
[list]
官方有这样一段话:
Think of your PC as a piece of paper. Every program you run writes on the paper. When you run your browser, it writes on the paper about every site you visited. And any malware you come across will usually try to write itself into the paper.

Traditional privacy and anti-malware software try to locate and erase any writings they think you wouldn't want on the paper. Most of the times they get it right. But first the makers of these solutions must teach the solution what to look for on the paper, and also how to erase it safely.

On the other hand, the Sandboxie sandbox works like a transparency layer placed over the paper. Programs write on the transparency layer and to them it looks like the real paper. When you delete the sandbox, it's like removing the transparency layer, the unchanged, real paper is revealed.

大概的意思是
电脑就像一张纸,程序的运行,会将东西写在纸上.而sandboxie就相当于在纸上放了块玻璃,程序的运行也就是运行在那块玻璃上,但是没有写在纸上.这就是sandboxie一个很形象的比喻.

官方在帮助的界面里,很清晰的给出一张图也很容易理解其的运行原理.

普通的程序运行
(图3) [attach]154213[/attach]
程序<----------------->硬盘存储
(图4) [attach]154214[/attach][/list][list]sandboxie中运行程序
程序<----------->sandboxie暂时存储<--------->硬盘存储
[/list]

[color=crimson]sandboxie暂时存储的地方在哪里?[/color]
[list]
由于现在是正式版本2.64我就说一下这个版本的路径,其它的版本基本一样

如果你是默认的.他默认路径是%AppData%====>C:\Documents and Settings\用户名\Application Data

这里我只拿默认的路径做一下说明

不管运行任何程序注册表总会有修改(cmd除外)
而用sandboxie可以很好的捕捉到这点.
[/list]


[color=crimson]如何在sandboxie里运行程序?[/color]
[list]
1)对于exe程序==>可以直接 右键->Run Sandboxied,此时程序运行在sandboxie中了

2)运行其它程序==>打开Sandboxie Control->右键-> Run Sandboxied->(图5)[attach]154215[/attach]
很清楚的可以看到他的提示运行什么
从上至下 分别是在sandboxie下运行 ie 默认浏览器 email/任何程序 从开始菜单程序运行/ windows安装服务
这里主要对windows安装服务这个项目做点小解释,官方同样有这点的解释
Why would I need to run Windows Installer Service sandboxed?
The Windows Installer service is a component of Microsoft Windows. Some software installation (or setup) packages require this service. The component copies files and makes registry changes on behalf of the program being installed.
Sandboxie does not permit sandboxed programs to use the system Windows Installer. If the sandboxed program needs the service, it will fail and Sandboxie will tell you to start a sandboxed instance of the Windows Installer service.
In this case, use the Sandboxie Control action Run Sandboxed -> Windows Installer Service, to start the sandboxed instance. Then re-run the failed installation.

大概的意思:
windows安装服务是微软的组件.一些软件的安装需要安装服务项.但是sandboxie 如果运行某些软件需要调用系统的安装服务项,将提示需要安装此项.
[/list]


[color=crimson]怎么区别程序是在sandboxie运行还是正常的运行?[/color]
[list]
如果在sandboxie运行下的程序,在运行的窗口中会有两个[#]*****[#](图6) [attach]154216[/attach]
[/list]



[color=crimson]如何查看sandboxie里的变化?[/color]
[list]
我们之前已经知道如何去运行程序.那怎么看文件在sandboxie里面的变化
[color=blue]程序运行中(动态的变化)->[/color]说明此时的图标成 [attach]154219[/attach] -->你可以双击Sandboxie Control或者右键->Sandboxie Control->Open Main Window-->可以查看程序在进程里的名字和PID值
[color=blue]程序运行完毕(静态变化)->[/color]说明此时的图标成 [attach]154218[/attach] -->更通俗的说也就是运行程序前和运行程序后的产物(文件的变化)和注册表的变化
[color=limegreen]-->如何查看文件变化[/color]
右键-> Sandboxie Control->Contents of Sandbox->Explore Contents->这时候文件会弹出一个文件框
你会发现文件目录下有HarddiskVolume1等的文件,这就是你实际机子里的c目录(HarddiskVolume1=C:\),以此类推HarddiskVolume2=D:\
[color=limegreen]-->如何查看注册表变化[/color]
复制以下代码[code]@echo off
:: This lists registry changes trapped by Sandboxie
c:
cd Program Files\Sandboxie
RegDump.exe "%APPDATA%\Sandbox\DefaultBox\Data\Registry.dat" > "c:\regchanges.txt"
echo.
echo.
start notepad "c:\regchanges.txt"
exit[/code]保存文件名文*.bat
将这个bat文件放到你的安装sandboxie的目录,双击运行一下,即可看见注册表的变化.

注意:
c:
cd Program Files\Sandboxie
代表你的安装目录如果你安装路径是D:\tools\ Sandboxie则代码要换成
d:
cd tools\Sandboxie

[color=limegreen]sanboxie实际存在系统于目录[/color]
->对于文件来说,地址是地址为C:\Documents and Settings\用户名\Application Data\Sandbox\DefaultBox\Device下
->对于注册表来说,实际改变的的文件为C:\Documents and Settings\用户名\Application Data\Sandbox\DefaultBox\Data\ Registry.dat
[/list]


[color=crimson]Sanboxie里如何删除生成的文件?[/color]
[list]
在sandboxie看完文件的生成和变化后,为了方便下次的运行,不给查看下次带来混淆.我们必定要做这步,删除sandboxie生成的文件
-->方法
[color=red]首先删除文件前提是,关闭sandboxie正在运行的程序,其中包括sandboxie进程里面的程序和你浏览的生成文件的文件夹[/color]
如何关闭sandboxie进程里所有程序
-->右键->Sandboxie Control-->Terminate Sandboxed Processes-->In All Sandboxes

正式清理文件
-->右键-> Sandboxie Control->Contents of Sandbox->Delete Contents
注:如果出现一个对话框如图7 [attach]154217[/attach]

选择”取消”即可.
这里暂时不谈QuickRecovery tool这个工具的作用.(期待更新片^-^)
[/list]

[color=crimson]sanboxie可以做什么?[/color]
[list]
官方的回答:
You should be able to run most applications sandboxed.

    * Web browsers
    * mail and news readers
    * instant messengers and chat clients
    * peer-to-peer networking
    * games
          o in particular, online games which download extension software code

In all cases on this list, your client-side program is exposed to remote software code, which could use the program as a channel to infiltrate your system. By running the program sandboxed, you greatly increase the control you have over that channel.

And in addition, you can even install most applications into the sandbox.

[color=darkblue]我的个人使用篇:[/color]
sandboxie既然可以做虚拟机系统,为什么不把他当个系统来用呢?
[color=orangered]用sandoxie上网浏览网页[/color]
使用sandboxie上网是最合适不过的了,你完全可以不用担心,用他上网在中毒.因为即使那网页被挂了木马,你的系统也不会中毒.因为那些东西都留在了sandboxie缓存

[color=orangered]用sandboxie运行脱壳程序[/color]
脱壳程序有两种,一种是静态的脱壳,还有一种是动态脱壳.静态脱壳是不运行被脱的程序来脱壳,这种方法安全也放心.动态脱壳是运行被脱壳的程序来脱壳.脱一般的程序还好,那如果是脱病毒文件呢?你脱的同时不是运行了样本?现在的样本危险至极(感染exe,敲诈者等),那些样本你运行的是不是有点冤枉?所以用sandboxie脱壳是一个不错的选择(类似运行调试od是一样的).

[color=orangered]用sandboxie测试陌生文件[/color]
是不是经常对exe文件感觉有点可怕,那个是不是病毒,首先你可能会选择用杀软扫描,那如果这病毒杀软没有反应,你就运行了?那万一真是病毒怎么办?hmm,对了用sandboxie 看看这东西,最后会生成什么,拿生成物用杀软再验证一下是不是更放心呢?

[color=orangered]用sandboxie测试病毒[/color]
很多人说沙箱不保险,一直漏.那我也玩了那么多病毒,我怎么没漏呢?有的时候为了玩一些,我的杀软是全部关闭,至今没有出过问题!
但是即使是一个软件,不可能做到天衣无缝,总会存在一些BUG.
测试感染exe文件,如威金,熊猫,灯泡男等等.样本的提取是最方便,也是最速的,很多virusfans测试样本都用虚拟机,虚拟机这东西,个人认为没有1G的内存,你的机子不能跑起来,跑的舒服.而这sandboxie你机子256一样可以玩病毒.
[/list]

常见问题回答
[color=blue]%AppData%\Sandbox\DefaultBox下面三个文件是做什么用的?[/color]
-->%AppData%\Sandbox\DefaultBox下面有三个文件夹分别是Data\Device\Zhadum
Data-->Data文件夹下存放的是在sandboxie里注册表改变的文件
Device-->Device文件夹下是模拟真实磁盘目录的环境
Zhadum-->Zhadum文件夹是sandboxie删除文件暂时存放的路径

[color=blue]我看生成物,怎么会出现0字节的文件?[/color]
如果那个文件在实机运行,那个0字节的文件是会被删除的.在sandboxie里运行会保存下来文件名.(自己玩过一个敲诈者就是那样子)


[quote][color=red][size=7]回帖只限制发意见和提问,其余贴一律当灌水处理,请务以身试贴!谢谢合作![/size][/color][/quote]

[[i] 本帖最后由 hzqedison 于 2007-2-14 15:00 编辑 [/i]]

对于sandboxie归类为hips我保留意见。在我看来sandboxie不能算作主机入侵防御软件。老外的投票并不能给他定性。<br />
<br />
sandboxie通常用来测试病毒行为或者软件捆绑倒是不错。我以前一直配合gss或者ssm来一步一步看程序的行为，虽然有点小题大做。<br />
<br />
韩总什么时候写个实际测试的参考样本？

[[i] 本帖最后由 虫二 于 2007-2-8 20:39 编辑 [/i]]

我使用这个 sandboxie候 就是在查看产生的文件里面那个注册表的文件不知如何才能看到，这个注册表的BAT文件也复制了，好像对于2.76版本好像不行啊。

考考韩总：这两个提示什么意思？:12340

[quote]原帖由 [i]jasszxg[/i] 于 2007-2-9 01:11 发表
我使用这个 sandboxie候 就是在查看产生的文件里面那个注册表的文件不知如何才能看到，这个注册表的BAT文件也复制了，好像对于2.76版本好像不行啊。 [/quote]
我的这个帖子 完全是按照2.64写的 2.7X一律不能用这方法

[quote]原帖由 [i]魔法学徒[/i] 于 2007-2-9 01:52 发表
考考韩总：这两个提示什么意思？:12340 [/quote]
[b]tzuk本人的回答:[/b]
The Sandboxie Helper is trying to inject itself into the sandboxed program, so it can intercept key functionality that is blocked by Sandboxie, and "help" the program work around it.

For example, Sandboxie totally blocks access to Windows Services, but the helper DLL can "help" the program to query the status of services.

Since this fails, it must be a conflict with another software. Please try to find out which, and I'll look into it, and see if there is anything I can do about it.

In the next version of Sandboxie, this DLL injection is going to do a lot more than just "help", it will be absolutely necessary for DLL injection to work, or the sandboxed program will simply fail in just about anything it does.

So I hope you can take the time to locate the conflicting software.

很抱歉 我没看懂他解释的列子

但是他总体的意思是 sandboxie与某个软件冲突 他将在下个版本进行改进

[quote]原帖由 [i]hzqedison[/i] 于 2007-2-9 09:42 发表

我的这个帖子 完全是按照2.64写的 2.7X一律不能用这方法 [/quote]
希望韩总能够针对2.76beta版本或者更高的再写个批处理，就象注册机2.64的注册机一样都能够对付那就好了。

2.77beta的数据清除不了．．．．．

[quote]原帖由 [i]yhtdzy[/i] 于 2007-2-10 11:49 发表
2.77beta的数据清除不了．．．．． [/quote]
首先删除文件前提是,关闭sandboxie正在运行的程序,其中包括sandboxie进程里面的程序和你浏览的生成文件的文件夹

这个做到了吗?

已解决!
我是在系统重启后,顺利删除的!
可能我前次的操作有误!但我清楚记得是:已关闭sandboxie正在运行的程序!.....也许是生成文件的文件夹我忽略了!...
还是要谢谢hzqedison 先生了!.....

晕，一天就在一个版块看，今天在FF看到，才在JM找到这个帖子的: 12342

学习一下，以后就不用祸害单位的.....123410

呵呵，我那破机子，赛扬1.3，256 sd内存，虚拟机都装不上，感染型的病毒样本一大堆，就这么个破电脑，资料多，不敢随便调试啊。

看样子不错哦，多研究研究了。

学习ing:12345

谢谢楼主出这个说明，正需要啊！

我有个创新声卡，使用sandboxie运行会发声音的程序后，关机的时候会蓝屏。

[quote]原帖由 [i]bluewing[/i] 于 2007-2-21 13:48 发表
我有个创新声卡，使用sandboxie运行会发声音的程序后，关机的时候会蓝屏。 [/quote]
你可以用一下测试版本的 sandboxie

我觉得应该和影子同一类吧？？

好像原理差不多那？都是虚拟下运行的！

运行qq，不能输入密码，不能启动视频聊天！

其实这个和影子系统原理差不多　只是功能比影子系统更加强大123410

这个比虚拟机器方便多了，不过如何提取文件，有没有例子出来看一下？