@Shiraira2 年前
10/29
01:41
起因
之前隔离TIM一直使用的是VMware+RemoteAPP方案,但不知道是因为虚拟化后图形性能太差还是其他原因,RemoteAPP运行的TIM经常会短暂卡死,故开始重新考虑Sandboxie方案。
曾经我就使用过Sandboxie方案,但是当时Sandboxie只能阻止应用修改系统,系统上所有的文件对于沙箱内的应用仍然是可读的,如果使用资源访问控制功能,只能进行全有或全无式的权限控制,条目的匹配优先级也不明确。并且没有(似乎?记不太清了)只写权限选项。
最近发现Sandboxie Plus提供了隐私隔离沙箱,可以解决上方的大部分问题,遂决定重新尝试
已知缺陷
无法防止沙箱内程序对整个屏幕进行截图
选材
我这次选用的是最新版本的TIM3.4.2(22058),此版本TIM在Sandboxie中可以脱离QQProtect独立运行,省去了许多事情。
准备
为了使用隐私保护沙箱,我购买了Sandboxie Plus PERSONAL-SMALL
- 先新建一个标准隔离型沙盒Temp1,在沙箱中运行TIM安装包,正常执行安装过程
此步骤是为了取得完整的TIM文件夹 -
找到TIM的安装位置,将TIM文件夹完整复制到宿主机的特定文件夹下
(我将其放在了D:/GreenSoft/TIM下
-
新建数据保护加固型沙盒TIMBOX,设置程序控制-必沙程序
文件夹 D:\GreenSoft\TIM (你宿主机的TIM实际目录)
进程 TIM.exe (其实可以不用设置,但为了防止有人目录放置错误导致漏沙,故添加此行)
- 设置资源访问-文件例外规则
完全开放 %UserProfile%\Desktop\SBIE (数据保护沙盒无法直接复制文件,需要在桌面建立一个名为SBIE的共享文件夹方便TIM发送接收文件)
完全开放 %UserProfile%\Documents\Tencent Files (用户数据文件直接透传,防止沙箱清空/丢失导致的数据丢失)
完全开放 D:\GreenSoft\TIM (TIM所在目录,不设置的话TIM无法运行)
仅沙盒内(只写) C:\Program Files\* (可选,防止TIM访问已安装的程序)
仅沙盒内(只写) C:\Program Files (x86)\* (同上)
- 设置资源访问-注册表规则(可选,防止TIM读取已安装应用的注册表信息)
仅沙盒内(只写) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
仅沙盒内(只写) HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\
- (重要) 设置资源访问-窗口
不设置的话TIM的登录窗口无法正常显示
窗口类 TIM.exe 禁止重命名 *
- (可选)高级选项-隐藏进程
因为SBIE无法对沙盒内应用隐藏进程列表,只能防止读取,将你不想让TIM扫描到的进程名填入
结语
至于如何运行TIM,取决于你的个人喜好。
你可以直接在宿主机的TIM.exe上新建快捷方式并放到桌面
也可以在TIM运行期间,在SBIE管理器中右键建立快捷方式
只要Sandboxie不出什么问题漏掉必沙程序,两种方法没有什么区别。