无忧启动论坛

 找回密码
 注册
搜索
系统gho:最纯净好用系统下载站投放广告、加入VIP会员,请联系 微信:wuyouceo
查看: 15375|回复: 22
打印 上一主题 下一主题

[原创] Sandboxie应用技巧大全,提高RAMOS安全性易用性

  [复制链接]
跳转到指定楼层
1#
发表于 2012-11-19 22:12:33 | 只看该作者 |只看大图 回帖奖励 |倒序浏览 |阅读模式
本帖最后由 2012yangyf 于 2013-12-19 21:18 编辑

原贴就是我发的,特转贴这里与大家讨论下



原帖地址:http://www.2y2r.org/thread-530882-1-6.html

第一部分:
大家都知道内存虚拟盘软件可以把内存虚拟为硬盘使用,这样可以加快部分程序,但系统仍旧是传统模式安装在硬盘,容易感染病毒。
而完全内存版的RAMOS则不怕病毒,重启后立即还原如初,并始终保持极快的速度。但是安装和配置麻烦。
SSD(固态硬盘)相比较硬盘,速度快很多。虽然还是没有内存建立的RAMOS快,但安装和配置简单。
现在当然是SSD+RAMOS,最佳组合了。不过那都是要钱来升级的。
下面我推荐的方案非常省钱且简单:沙盘软件sandboxie!
优点:
可以在任何Windows系统上安装,安装和配置过程非常的简单,硬件要求非常低。
有RAMOS的不怕中毒特性,任何操作都在沙盘的虚拟环境中,和实际操作系统完全隔离。
并且没有RAMOS的缺点:需要手动热备份。如要提取沙盘中的任何文件,鼠标点几下即可搞定。
如果内存较大(2G及以上),配合内存虚拟盘软件,则可以加快使用速度。


下面是具体安装和使用说明:
沙盘Sandboxie 3.72 简体中文特别版:http://www.xiazaiba.com/html/424.html
软件大小:2.46 MB 软件语言:多国语言[中文] 软件性质:国外软件 软件授权:特殊软件
安装包内有一个安装文件,一个注册器,一个说明txt,注册器有可能报毒,不信的网上自行找注册码。
安装前尽量退出多余软件防止干扰,安装路径必须为英文,一路下一步到底,完成安装后软件自动运行,退出软件,运行注册器,非默认安装路径需要选择补丁路径,然后点击patch,重启电脑即可。

沙盘的使用思路是:
任何网络应用,任何安装新程序都用沙盘模式运行(包括游戏),调试运行确认无毒的安装程序再安装到实际操作系统中。

安装好沙盘软件后,默认在右键菜单有一个选项:在沙盘中运行。这是最方便的调用了。
经常需要使用的快捷方式和程序呢?只有一个IE是默认做好的,其余的用右键显然不方便,且易忘记,有2个方法可做沙盘的常用程序的快捷方式:
1:做一个快捷方式到桌面。
打开Sandboxie Control(沙盘控制台),在控制台界面的菜单中:配置-》系统设置-》添加快捷方式图标,2个确定后,选择出来的菜单中的桌面或者程序中的相应快捷方式即可。(需要的程序在开始菜单无快捷方式的做个到开始菜单中即可)。
2:强行指定某些文件夹下的程序或者某个程序必须用沙盘模式运行。
打开Sandboxie Control(沙盘控制台),在控制台界面的菜单中:沙盘-》DefaultBox-》沙盘设置-》程序启动-》强行运行文件夹(程序)-》添加相应文件夹或者程序 即可,这方便多人用电脑环境的使用。

如果可以,最好安装个内存盘,把沙盘的目录设置到内存盘里面,即可加快速度。
打开Sandboxie Control(沙盘控制台),在控制台界面的菜单中:沙盘-》设置保存文件夹-》右边栏选择内存盘符,(注意默认\Sandbox\%USER%\%SANDBOX%路径最好别改)

如果要提取沙盘中的文件:(比如QQ传送的文件)
鼠标右键点击右下角的沙盘图标-》DefauleBox-》快速恢复-》恢复到相同文件夹,或 恢复到任意文件夹,这里解释下:恢复到相同文件夹的意思就是:如果你在沙盘中的QQ传文件,接受保存在桌面,那么恢复后也在桌面。

如果沙盘环境中发现异常或者病毒,无需RAMOS的重启电脑:清空沙盘文件夹即可。
鼠标右键点击右下角的沙盘图标-》DefauleBox-》删除保存内存-》删除沙盘。

最后来张软件界面截图:




第二部分:
最近一直在用Sandboxie,越来越感觉这软件做的妙,精彩。
体积如此的小,资源占用也小到惊奇,兼容性也很棒,关键是有破解补丁,很适合国情,哈哈!

最近想到的和RAMOS互补强招:
都知道RAMOS有个比较无奈的地方就是:因为内存紧张或者会导致启动过慢的考虑,RAMOS不可能做的很大(1G以上),对于大镜像的支持,RAMOS驱动也不稳定,所以较大的软件一般很难在RAMOS上“混”!,一般要去辛苦的寻找绿软,就是不往C盘(RAMOS盘)写文件的软件,可即便找到了,绿软也会有版本过旧过期的,或者有些软件根本没有绿软,只能用setup安装,这类软件安装多了C盘想不大都难!!于是热备份越备越大咯。

现在Sandboxie就可以完美的解决这问题,顺便可以享受下Sandboxie的安全性。
Sandboxie有个特性就是把用setup安装方式安装的软件监控起来:从出生(安装)到工作(运行)到死亡(删除)全程包圆了
简单的说就是:Sandboxie可以欺骗操作系统,让setup以为它安装到C盘了,其实只是安装在Sandboxie指定的盘下,比如D盘下。

利用这特性,我们大可不必费心去找绿软(烦广告的无视这条),直接在setup.exe上点击右键->在沙盘中运行,然后就和你平时一样的安装就可以了,新安装程序的快捷方式在开始->程序->Sandboxie->Sandboxie 开始菜单 中,经常要用的这样不方便,我们可以做个永久快捷方式到桌面或者哪里:启动Sandboxie控制台(Sandboxie Control)->配置->系统设置->添加快捷方式图标。

对某些软件不放心,想专门看管的,可以专门给它个窝:新建个沙盘,以它命名,具体设置看一楼的CHM帮助文档的设置。

Sandboxie的配置文件默认在C:\Windows\Sandboxie.ini,哪怕你把Sandboxie安装在D盘也是如此。改变Sandboxie设置后RAMOS下怎么保存?很简单,把Sandboxie.ini剪切到D盘Sandboxie安装目录下,Sandboxie在启动后找不到C:\Windows\Sandboxie.ini,会自动到Sandboxie安装目录下寻找。
这样,你的RAMOS会很健康成长,而你又可以顺利的使用各种大软件,无任何限制,注意哦,新安装软件不用RAMOS热备份了哦,喜欢吧?


为了结合RAMOS的快速和Sandboxie的安全,建议所有网络应用(IE,QQ,讯雷等等)都用Sandboxie看管起来;

高级技巧:
1:
对于系统安全性和速度都要求很高朋友来讲,以上设置无法应用,为什么?因为这些朋友都是把Sandboxie的保存文件夹设置到内存盘的。
那么这类朋友真的没办法用上面的设置了么?当然有办法:
Sandboxie.ini中,[GlobalSettings]段为全局设置;
指向的就是全局沙盘(或者说默认沙盘)的保存路径。
那么我们要设置特定沙盘的路径怎么设置呢?

很简单:
假设有个沙盘名为Maxthon,
打开Sandboxie.ini
找到[Maxthon],在下面加一行:
FileRootPath=D:\Sandbox\%USER%\%SANDBOX%
也就是说你可以为每个沙盘设置个路径,不过建议保留Sandboxie的后面的默认路径部分“:\Sandbox\%USER%\%SANDBOX%”

2:
还有很多朋友心疼硬盘或者说不喜欢看硬盘灯狂闪,我就是啦~,就喜欢把文件直接下载到内存盘,或者把PPS之类的软件的缓冲文件夹设置到内存盘,
那么问题来了,怎么告诉Sandboxie把下载的文件或者PPS缓冲的文件直接指向到需要的目录下呢?要不然Sandboxie会下到Sandboxie保存文件夹下。这样就不爽了。

很简单:
假设有个沙盘名为PPS,
打开Sandboxie.ini
找到[PPS],在下面加一行:
OpenPipePath=Z:\     (Z为内存盘)
这样,不管是在沙盘内还是沙盘外运行的PPS,都会直接把缓冲文件夹指向到内存盘Z:下了(PPS也要在配置界面设置好指向目录),不会再缓冲到Sandboxie保存文件夹下了。
同理,那些没有把Sandboxie保存文件夹设置到内存盘的朋友,也可以把IE沙盘下载的文件直接下到指定目录下而不再询问是否快速恢复了。不过鉴于安全性,只适合内存盘作为指定目录。



第三部分:
最近一直在用sandboxie,又用它解决了一个头疼的问题:

都知道现在的网银,建行,工行,农行,中行,信用社,等等...还有个人和企业的版本区分,那些出纳和会计的电脑上乱七八糟的网银一大堆,电脑启动慢了不说,最近还发现一款老的工行企业网银U盾,会被建行的E路护航冲突,导致证书无法加载~~~也就是说多种网银有冲突了,这下好玩了...

我就用sandboxie解决了各种网银的共存问题.
以下方法最适合RAMOS系统,普通系统要使用这方法,请确保系统无毒,因为sandboxie只能防止沙盒由内向外的访问和操作,不防止由外向内的访问和操作.一般沙盒是测试不确定软件的,我反过来想:ramos重启后就能确保无毒,不如把网银用沙盒单独看管和隔离起来~~~




具体方法:
ramos下用sandboxie 加载各种网银:

[安装步骤]:
RAMOS系统下:
1:安装sandboxie 3.72 到D盘(物理盘),
2:退出sandboxie的控制台和停止sanboxie后台服务进程,
3:剪切C:\windows\sandboxie.ini 到D盘的sandboxie目录下,
4:重启电脑后,进入sandboxie控制台,更改默认路径为D盘,退出控制台,重新进入,增加个沙盘,名为CCB,
5:设置CCB沙盘的完全访问目录: %Cache%\   ,
6:选中建行的E路护航exe安装文件,右键选择"在沙盘中安装",
7:在控制台的菜单中:配置-系统设置-添加快捷方式图标,添加CCB沙盘中的E路护航菜单中的握奇管理工具 的快捷方式到桌面.

[使用方法]:
平常使用方法:
1:插入U盾
2:运行桌面的 CCB握奇管理工具 快捷方式,点击检测更新,即会自动进入建行网银登录界面.

[目的意义]:
利用沙盘的虚拟环境,
这样,就可以在RAMOS下安装多个网银而无需热备份RAMOS,且可以随时更新网银,并且不会影响RAMOS系统.
每个网银建立个沙盘,分别管理,退出不倒沙,平时需要用网银,手动启动相应的U盾管理工具,用管理工具自带的检测更新方式,手动启动相关进程服务,达到和普通安装一样的效果,且省下网银开机自启的硬件资源开销,系统也能保持干净,网银又可以时刻保持更新.

设置直接访问目录的目的是:沙盘响应网银管理工具的调用,调用启动IE,会在网银沙盘中产生IE临时文件夹:Temporary Internet Files,用这设置可以把Temporary Internet Files转移到内存盘中,保持网银沙盘干净.


[适用环境]:
因为沙盘的特性,只能防沙盘由内向外的访问,不防沙盘由外向内的访问,因此安全性很差.
所以,最好在RAMOS系统下使用.
为了安全起见,最好能在使用网银支付前,重启一次RAMOS系统(为了保证无毒).




目前剩下的几点:
1:如果当前网银管理工具没有类似刷新和检测的功能菜单按钮,那么可以:
   建行可以直接运行E路护航做次检测,好像就可以自动启动相关的网银后台进程,此程序相关链接可以直接IE启动网银页面.
   工行就是工行助手了.
2:插入U盾,启动网银后台进程后,如果没有自动打开网银页面,那么除了用上面工具的相关链接进入外,也可以手动启动IE进入,
   注意,不能是沙盒外的IE,必须是用沙盒内自带的IE打开,因为沙盒外启动的IE,无法和沙盒内的网银进程通讯.
3:最好设置:退出网银管理工具后自动结束此沙盒内多余进程, 把系统temp文件夹和IE的临时文件夹设置为完全访问文件夹,
   保持网银沙盒的干净.安装和进入网银页面产生的临时文件和沙盒外系统一样指向临时盘(最好就是内存盘).
4:其余类似迅雷,YY,QQ,PPS,都可以用这方法,目前使用的非常棒.



第四部分:
sandboxie还有个非常棒的优点有可能大家没发现:
现在各种网银都会在IE自动添加信任网站,会改变IE安全级别和设置,还有现在各种增值税发票网络开票,申报,等等许许多多的软件应用都用网络环境来完成,你可以想象下IE被这些软件改的面目全非,都不知道该顺从谁好了~~~一不小心还出现各种奇奇怪怪的登录问题...

现在你用sandboxie,这些都不是问题了,不光是这些软件都是在独立和干净的沙盒内运行的(至少它们觉得自己所在的系统内(沙盒内),自己是唯一的,呵呵),  而且关键的是:
每个软件包括网银对IE的更改等注册表改变都是唯一的,举例:你可以在随便一个网银沙盒内运行个浏览器,打开IE选项,和沙盒外运行的IE的选项对比,看看是不是不一样?沙盒外的IE选项的可信任网站根本没有任何网站,而建行网银的沙盒内运行的IE的选项里面赫然有ccb的可信任网站.这就是sandboxie的厉害之处:让我们以最小的系统资源开销,拥有个近乎完美的虚拟系统环境.

你可以想象下了:所有的网络应用软件,所有的依赖网页操作的应用(包括网银等等),它们各行其是,互不干扰,每个软件都有sandboxie分配给它们的独立居室,再也不用都挤在一个屋(操作系统)内打架了,多幸福啊.哈哈.

朋友们觉得怎么样?



第五部分:原贴地址:http://www.2y2r.org/thread-598680-1-1.html
Sandboxie和RAMOS的优化组合,解决RAMOS使用中的防毒安全问题

RAMOS能保证重启即无毒,这大家都知道,可如何保证在RAMOS使用中不感染病毒呢?
安装杀毒软件,先不说会增加RAMOS大小,减慢系统速度,就是各种兼容性和特征库的更新保存问题就非常麻烦.
现在,在使用了Sandboxie(以下简称SBIE)近半年,查阅了许多资料,做了许多试验后,我郑重推荐大家用SBIE解决RAMOS使用中的安全问题.
在具体说明SBIE如何应用之前,我先大概说明下SBIE为什么能防毒,以及RAMOS使用SBIE还有什么好处?

SBIE为什么能防毒?
SBIE可以建立一个局部的虚拟环境,这和真正的虚拟机软件不一样,所以资源占用也很小.
在这环境中,SBIE就是老大,如果你指定了QQ.exe在这环境中运行,比如新建立一个QQ的沙盘,那么可以做到如下程度:
不管你运行哪个目录下的QQ,只要是QQ.exe的可执行文件,SBIE会立马逮到自家QQ沙盘中运行,具体过程就是自动复制沙盘外面的qq.exe到qq沙盘内,在沙盘内启动qq.exe,在启动qq.exe的过程中,qq.exe需要什么文件,qq沙盘就自动在外面逮进来,所有的一切都在沙盘内运行,如果qq.exe需要修改什么文件,需要创建什么文件或者需要修改注册表文件,都是qq沙盘在外面逮进来的文件让qq.exe修改,创建的新文件也在qq沙盘中产生,至于注册表更是会在qq沙盘中产生一个特殊文件,qq.exe产生的一切注册表改变都在这文件中.
总之你运行这qq.exe,不管是在沙盘内,还是外面,都不会对沙盘外的QQ目录有任何改变,对于沙盘外的注册表也不会有任何改变.这就是原理.

那么回到问题,SBIE为什么能防毒?
ok,通过以上,我们知道了,在沙盘中运行的任何软件都不会对实体系统包括ramos有任何改变.那么细心的朋友就说了,那如果我不小心在QQ上接收了个木马压缩包点击运行开了,或者点了个链接,中毒了怎么办?
别急,SBIE还可以限制沙盘中哪些程序可以运行,哪些程序可以联网.比如设置为只允许qq.exe运行,只允许qq.exe联网,那么你接收到的木马压缩包是不可能打开的,因为qq沙盘拒绝除了QQ.exe之外的任何程序运行,更不用说联网泄密了.

这就是SBIE防御病毒的理念。即便这木马伪装成qq.exe同名文件来运行,因为这伪装的qq.exe是在网络上通过qq.exe下载到qq沙盘内的,SBIE规定:如果启用了运行程序限制,那么不允许来自于沙盘内任何程序的运行请求.而来自于沙盘外的原装QQ.exe,是自动复制到qq沙盘内运行的,所以不在规则限制之内.因此哪怕木马冒用沙盘允许运行的程序也无法运行起来,因为,无论如何,木马最终都得乖乖的在沙盘内,无法感染沙盘外的QQ.exe

再加上我以前一直建议的利用SBIE的沙盘原理,把SBIE安装在Y内存盘,把新软件安装在SBIE里面,设置为不自动倒沙,然后直接保存Y盘即可,既不用热备份X盘或者ramos C盘,也可以减小ramos的大小,如果SBIE保存目录在硬盘分区,那么任何保存备份都不用了。
当然,把软件安装在SBIE中运行和调用沙盘外程序到沙盘内运行是不一样的,一般建议安全性很高的如网银、不含个人隐私信息的如下载工具、不易找到绿软、免安装之类的如在线影视播放,才考虑安装到SBIE内。而,网页浏览器因为涉及到论坛博客等帐号、通讯工具涉及到QQ等帐号,不建议安装到SBIE内运行,因为安装在SBIE内运行的软件,无法采用严格的规则约束,虽然不会影响其它沙盘和沙盘外程序,但本沙盘内的程序还是有被泄密的可能的,如果这程序中了木马的话。


现在说说具体设置:
设置理念就是:管控所有的网络软件,记住,是所有的。并且安装新的不明软件都需要在沙盘中测试安装使用下,看有没有问题。

具体操作就是:
所有网络应用程序,都强制在沙盘内运行;
所有网络应用程序,都用独立沙盘分开运行;
所有网络应用程序,都原则上仅允许主程序运行和联网;
所有网络应用程序,主程序退出后,自动结束当前沙盘所有剩余进程;
所有网络应用程序,凡是从沙盘外调用的,程序结束后都自动倒沙清盘;
所有网络应用程序,凡是安装于沙盘内的,程序结束后不自动倒沙清盘;
所有网络应用程序,凡是从沙盘外调用的,有读取和保存资料需求的,可设置快速恢复或者直接访问目录。比如IE收藏夹、QQ聊天记录等。
所有网络应用程序,凡是安装于沙盘内的,有读取和保存资料需求的,可设置完全访问目录。比如迅雷下载的软件、在线电影的缓冲文件等。
所有网络应用程序,凡是产生临时文件的,可设置快速访问目录(读取于沙盘外),或者完全访问目录(安装于沙盘内)到内存盘。比如IE等。

再说下SBIE具体的安装方式:
普通安装方式:
在ramos下直接安装到硬盘的D盘下,沙盘默认保存目录为D盘。剪切X:\windows\sandboxie.ini 文件到D盘的sandboxie目录下。

最优安装方式:
1:在ramos下建立个Y内存盘,内存盘镜像路径在硬盘D盘,一般常用绿色软件放在Y内存盘。
2:安装SBIE到Y盘,剪切X:\windows\sandboxie.ini 文件到Y盘的sandboxie目录下。
3:沙盘默认保存目录为Z内存盘(IE临时文件目录在此的话)。
4:在Y内存盘的常用绿色软件,用沙盘强制运行方式配置各自的沙盘。
5:找不到免安装绿软、必定要大量写注册表的、只能用setup方式安装的这类软件如网银、office等,用安装于沙盘内的方式配
置各自的沙盘。沙盘保存路径需要单独指定到Y内存盘。
6:设置完毕后需要保存下Y内存盘。

简易安装步骤:
第一步:下载Sandboxie:http://pan.baidu.com/share/link?shareid=121547&uk=1308952287    按里面提示安装重启。
第二步:下载我配置好的Sandboxie.ini,覆盖原ini文件。(http://pan.baidu.com/share/link?shareid=124286&uk=1308952287
第三步:退出Sandboxie Control ,重新运行Sandboxie Control 即可使新配置文件生效。



图文教程


Sandboxie的控制台截图,建立好新沙盘后的效果图:




如何设置其中一个沙盘:




外观页,可设置边框颜色:建议测试沙盘用红色,普通网络软件用**,安全网站及应用选绿色。




恢复页,作用是退出沙盘前可提醒你是否需要恢复沙盘内文件到硬盘上,防止沙盘内有用文件被清零,需恢复文件可设置。
举例子:
你下载了一个文件到桌面,可实际上桌面上并没有,还在沙盘内,如果这时候如下图设置桌面添加到快速恢复了,就会提醒你是否恢复这下载文件到实际的桌面上。




删除页,设置是否在沙盘内所有的进程结束后,自动删除沙盘内文件,也就是“倒沙”,适合从沙盘外调用的程序,也就是强制运行的程序的沙盘。预防木马残留和隐私泄露。




程序启动页,在这里添加的程序,无论是在沙盘内外,都会强制到此沙盘运行。这设置很重要,是防止不小心在沙盘外启动网络应用程序的保证,这是SBIE对付病毒的第一大招。




程序停止页,先导程序,就是在此页添加的程序视为主要程序,当此程序退出,会自动结束此沙盘内所有进程,如果设置有自动删除,则马上清空沙盘。如果有2个以上的先导进程,则等最后一个先导程序结束才生效。
举例子:
设置PPS.exe为主要进程,那么当PPS播放器关闭后,PPSAP后台进程也会被自动强制结束。




文件导入页,这是为了防止文件过大,导致从沙盘外复制入沙盘执行,变的时间过长,限制的。一般应用程序48MB的单文件大小足够了,如果有超过,这里修改下即可。对于游戏要沙盘化用于多开,可以直接忽略这提示。




限制页的网络访问,很重要的一个功能,在此页中,默认是允许任何程序访问,这里一般需要把主要程序添加到这里,无关或者你不喜欢它访问互联网的exe文件,一律不添加,这样木马才无法访问网络泄密。





限制页的启动运行访问,另一个很重要的一个功能,在此页中,默认是允许任何程序运行,这里一般需要把主要程序添加到这里,无关或者你不喜欢它启动运行的exe文件,一律不添加,这样木马才无法运行起来,更谈不上感染和泄密了。




限制页的降低权限,可以进一步提高沙盘程序的安全性,使当前操作环境降低为普通用户,防止一些超级管理员权限的破坏性设置。对于安装到沙盘内运行的程序,需要发送一个快捷方式出来,做快捷方式的时候,需要临时关闭此功能。




资源控制页中的直接访问,其目的是允许为〔从沙盘外导入沙盘内运行的程序〕设置一个后门:在此页中指定的目录,〔从沙盘外导入沙盘内运行的程序〕可以直接访问和读写。这样可以带来更多的方便,增加沙盘的灵活性,当然设置太多的目录会降低沙盘的安全性。
注意〔从沙盘外
被强制导入沙盘内运行的程序〕 和 〔安装于沙盘内的程序〕的区别。
从沙盘外被强制导入沙盘内运行的程序:正常使用的程序,被沙盘设置为强制运行程序后,再次运行会被强制导入沙盘内运行。
安装于沙盘内的程序:直接安装于沙盘内或者复制到沙盘内的程序。
举例子:
IE沙盘添加Internet 临时文件夹到此直接访问页,那么网页浏览产生的临时文件不会在IE沙盘内产生,而是直接产生于沙盘外的Internet 临时文件夹中,和沙盘外系统共用这临时文件夹。
再举例子:
迅雷沙盘添加下载目录到此直接访问页,那么下载下来的文件,只要下载的时候是选择保存到此文件夹的,就可以直接下载到此文件夹,不用上面说的快速恢复功能,来的更直接方便,当然安全性也要稍微降低咯。




持页和上面的直接访问页的区别是:完全访问页不仅包括直接访问页,安装于沙盘内的程序也可以直接访问使用这指定的文件夹。也就是说安装于沙盘内的程序必须用完全访问文件。




只读访问,适用于只想直接读取指定文件夹内容,而不允许改写内容的场合。比如只读收藏夹等。




只写访问,适用于只允许写入,不允许读取当前目录下内容的场合。比如迅雷下载和在线电影的目录就只需要写入下载文件和电影缓冲文件,而不用读取当前目录内容。




阻止访问文件夹,很好理解,就是拒绝此沙盘内程序访问的目录和文件。你大可以把自己写有密码的文本、私人照片目录等设置为阻止访问目录,严密的保护个人隐私安全。




这是针对IE浏览器的优化设置,选择这3项后,SBIE会自动在相应的设置栏填写设置。方便IE的设置。





设置默认沙盘的保存路径,注意这是指那些新建立的沙盘的默认的工作目录,包括沙盘外强制入沙的程序,和直接安装于沙盘内的程序。别和Sandboxie程序安装路径混淆。
Sandboxie可以安装于任何路径,但是建议安装于Y内存盘(方便备份),或者硬盘上(不用备份),因为sandboxie.ini这SBIE最重要的配置文件默认在X:\windows下,剪切到SBIE的安装目录下后,SBIE再次启动后在windows下找不到,会自动在SBIE的安装目录下寻找,所以SBIE可以很方便的修改设置。
默认工作路径是针对全体沙盘的,如果需要每个沙盘指定各自单独的工作目录,那么需要在Sandboxie.ini中加入相关的语句命令。注意:在ini中设置 好各沙盘的目录后,勿再改动默认工作路径,否则会覆盖各沙盘设置的独立目录。
用来设置特定沙盘工作目录的语句:
[沙盘名]
FileRootPath=Z:\Sandbox\%USER%\%SANDBOX%

而各新建立的沙盘的工作目录,我建议:
从沙盘外被强制导入沙盘内运行的程序:指向Z内存盘等分配空间较大专门用来存放临时文件的内存盘,方便清盘倒沙。
安装于沙盘内的程序:就指向SBIE安装目录所在的Y内存盘,因为不清盘倒沙,也方便备份。




设置默认全体沙盘的工作路径,只需要改动驱动盘符即可,后面段默认路径勿修改。




安装于沙盘内的程序 如何做快捷方式到桌面示意图







第六部分:
感兴趣的加Q群:245855821

上传一个配置文件: Sandboxie配置文件.rar (2.59 KB,  http://pan.baidu.com/share/link?shareid=124286&uk=1308952287  
请仔细阅读包内的注释和TXT。

还有卡饭论坛U大的CHM版教程:http://pan.baidu.com/share/link?shareid=122297&uk=1308952287

下面详细列上ini文件语句具体意义:



[GlobalSettings]  默认沙盘配置
空格
FileRootPath=Y:\Sandbox\%USER%\%SANDBOX%  默认沙盘保存路径
空格
[UserSettings_4BC00582]  沙盘控制台设置
空格
SbieCtrl_UserName=administrator 用户名=administrator
SbieCtrl_ShowWelcome=n  显示欢迎界面=否
SbieCtrl_NextUpdateCheck=865353038190  下次检查许可证书时间=8003349天后
SbieCtrl_UpdateCheckNotify=n  检查版本更新=否
SbieCtrl_WindowCoords=310,95,660,450 控制台窗口坐标=310,95,660,450
SbieCtrl_ActiveView=40021 活动窗口=40021
SbieCtrl_ProcessViewColumnWidths=250,70,300 控制台窗口大小=250,70,300
BoxDisplayOrder=DefaultBox,IE,TM  沙盘当前排列顺序=DefaultBox,IE,TM
SbieCtrl_AutoApplySettings=y  自动应用设置=是
SbieCtrl_SettingChangeNotify=n  设置改变后提醒=否
SbieCtrl_HideWindowNotify=n  隐藏窗口提醒=否
SbieCtrl_ReloadConfNotify=n  重新载入配置提醒=否
SbieCtrl_BoxExpandedView=DefaultBox,IE,TM 沙盘默认排列顺序=DefaultBox,IE,TM
SbieCtrl_EditConfNotify=n  编辑配置文件提醒=否
空格
[DefaultBox]  DefaultBox沙盘设置
空格
Enabled=y  启用沙盘=是
ConfigLevel=7  老版本参数
BoxNameTitle=y  在窗口标题中显示沙盘名=是
BorderColor=#0000FF,ttl  在窗口边缘显示有色边界=红色
AutoRecover=y  自动恢复=是
NeverDelete=n  从不删除=否
Template=BlockPorts  启用模板设置=默认阻止的TCP/IP端口列表
Template=LingerPrograms  启用模板设置=驻留程序的默认列表
Template=AutoRecoverIgnore  启用模板设置=直接恢复的默认排除项
NotifyStartRunAccessDenied=y  当运行访问被拒绝显示事件消息SBIE1308=是
FileRootPath=Z:\Sandbox\%USER%\%SANDBOX%  设置当前沙盘保存路径=Z:\
空格
[IE] IE沙盘设置
空格
Enabled=y
ConfigLevel=7
BoxNameTitle=y

BorderColor=#00FFFF,ttl  在窗口边缘显示有色边界=**
AutoRecover=y
AutoDelete=y  自动删除=是
NeverDelete=n
Template=IExplore_Favorites_RecoverFolder  启用模板设置=将IE收藏夹添加到快速恢复文件夹中
Template=IExplore_Favorites_DirectAccess  启用模板设置=允许直接访问IE收藏夹
Template=IExplore_Force  启用模板设置=强制IE在此沙盘中运行
Template=BlockPorts
Template=LingerPrograms
Template=AutoRecoverIgnore

RecoverFolder=%Personal%  快速恢复文件夹=我的文档
RecoverFolder=%Desktop%  快速恢复文件夹=桌面
LeaderProcess=iexplore.exe  先导程序=iexplore.exe (主要程序,此程序退出后其余程序自动结束)
NotifyStartRunAccessDenied=y  当运行访问被拒绝显示事件消息SBIE1308=是
NotifyInternetAccessDenied=y  当网络访问被拒绝显示事件消息SBIE1307=是
ProcessGroup=<StartRunAccess>,iexplore.exe  进程组=<启动运行库>,iexplore.exe
ProcessGroup=<InternetAccess>,iexplore.exe  进程组=<网络访问库>,iexplore.exe
ClosedFilePath=!<InternetAccess>,InternetAccessDevices 阻止访问文件=除了网络访问库以外的所有程序,使用网络模块。
ClosedIpcPath=!<StartRunAccess>,*  阻止访问IPC=除了启动运行库以外的所有程序,使用IPC。
DropAdminRights=y  降低管理员和超级用户组的权限=是
OpenFilePath=iexplore.exe,Z:\temp\  允许直接访问的程序=iepxlore.exe允许直接访问的路径=Z:\temp
FileRootPath=Z:\Sandbox\%USER%\%SANDBOX%  设置当前沙盘保存路径=Z:\
空格
[TM]  TM沙盘设置 (如果用QQ,只需要把TM.exe换为QQ.exe即可,不过QQ附属程序过多,不止一个QQ.exe,需额外添加)
空格
Enabled=y
ConfigLevel=7
BoxNameTitle=y

BorderColor=#00FFFF,ttl
AutoRecover=y
AutoDelete=y
NeverDelete=n
Template=IExplore_Favorites_RecoverFolder
  TM上启动微博、空间、邮箱用
Template=IExplore_Favorites_DirectAccess  TM上启动微博、空间、邮箱用
Template=BlockPorts
Template=LingerPrograms
Template=AutoRecoverIgnore

RecoverFolder=%Personal%  方便QQ接收文件到我的文档
RecoverFolder=%Desktop%  方便QQ接收文件到桌面
ForceProcess=tm.exe  强制运行程序=tm.exe
LeaderProcess=tm.exe  先导程序=tm.exe
NotifyStartRunAccessDenied=y
NotifyInternetAccessDenied=y

ProcessGroup=<StartRunAccess>,tm.exe,txplatform.exe,txplat~1.exe,iexplore.exe  增加IE,方便TM上启动空间、邮箱
ProcessGroup=<InternetAccess>,tm.exe,txplatform.exe,txplat~1.exe,iexplore.exe  增加IE,方便TM上启动空间、邮箱
ClosedFilePath=!<InternetAccess>,InternetAccessDevices
ClosedIpcPath=!<StartRunAccess>,*

DropAdminRights=y
OpenFilePath=iexplore.exe,Z:\temp\  增加IE,方便TM上启动微博、空间、邮箱
FileRootPath=Z:\Sandbox\%USER%\%SANDBOX%  设置当前沙盘保存路径=Z:\


这样设置后达成的效果是:
1:IE强制在IE沙盘内运行,沙盘路径是Z盘,只允许iexplore.exe运行和联网,关闭IE窗口后自动清盘,可以直接访问原收藏夹和增加收藏。设置Z:\Temp为直接访问目录,如果IE临时文件夹指向其下,沙盘IE产生的IE临时文件可在其下。另外设置桌面和我的文档为快速恢复文件夹,当IE下载软件到这2个文件夹,会询问是否恢复到沙盘外的实际桌面和我的文档中。

2:TM强制在TM沙盘内运行,沙盘路径也是Z盘,只允许TM和,txplatform及IE主程序运行,退出TM后清盘,不保存聊天记录(如果聊天记录在沙盘外的TM中指向我的文档,会有恢复提示,可选择清盘倒沙前恢复),为了方便在TM中启动空间等腾讯网页应用,增加了IE的相关设置,如不需要可删除相关设置,提高安全性。用QQ的改动相关文件名即可。建议用TM。


注意:我设置为默认沙盘路径为Y内存盘,IE、TM和初始沙盘DefaultBox保存路径为Z内存盘下。无此盘改动相关盘符即可,勿原封不动搬照~



第七部分:
接下来我着重介绍下如何把程序安装于沙盘内使用:

我前文说了:“从沙盘外被强制导入沙盘内运行的程序”就是我在ini配置文件中指定的“强制运行程序”,这里指定了这些程序,IE啦QQ啦这些以前已经安装好的程序都会自动到沙盘内运行。不用再安装一遍。
那么沙盘内的程序如何安装使用呢?


安装于沙盘内的程序如何启动?
鼠标右健点击安装程序(是压缩包的先解压缩开来),在右健菜单中选择“在沙盘内运行”,选择需要安装进去的沙盘,接下来和你以前安装程序一模一样,下一步下一步直到完成。不过在桌面上和开始菜单中都没有快捷方式。

快捷方式在:
参考1楼最后一张图:安装于沙盘内的程序 如何做快捷方式到桌面示意图
沙盘控制台-配置-系统设置-添加快捷方式图标-选择沙盘-桌面、程序、所有文件和文件夹。里面找找,总能找到的。
注意:如果点击后,无法发送快捷方式到桌面,是因为沙盘设置-限制-降低权限-降低管理员和超级用户组的权限,这里选择了的缘故,暂时去掉选择即可。




接下来我举个例子:安装建行网银于沙盘。
网银很适合安装于沙盘,因为:
1:是网银安装会在系统盘好些目录下产生许许多多的零碎文件,感兴趣的可以安装到沙盘内监控看下。
2:是开机启动占用资源,当然这可以手动优化,需要的时候开启管理工具。
3:是对浏览器环境要求很高,会修改IE设置。也就是修改注册表。

安装于沙盘内,以上3个问题都不是问题了,不会在系统盘和注册表写入任何文件和设置,不拖累开机速度,不影响IE设置。


初次安装步骤:
1:下载好建行网银E路护航安全组件安装包(个人网银必须使用E路护航包,建行规定~);
2:建立一个沙盘:CCB
3:设置CCB沙盘:
外观绿色、快速恢复页清空、删除调用页从不移除、先导程序选择管理工具那个exe(不清楚可以稍后添加)、直接访问页添加IE临时目录,设置沙盘路径到重启不丢失的盘(内存盘要保存下)。设置完毕;
4:退出重新进入沙盘控制台,生效新路径;
5:插入网银盾;
6:右健点击exe安装文件,选择安装到CCB沙盘内,安装完毕会自动运行E路护航的安全检测工具,请优化以下,首次必须运行,记得在之前插入了网银盾,以便安装好对应驱动;
7:按照以上方式从CCB沙盘内发送一个网银盾管理工具的快捷方式到桌面;

至此,安装部分已经结束。下面我说下平时的:
使用步骤:
1:插入网银盾;
2:启动桌面网银盾管理工具;
3:点击管理工具的“系统检测”按钮;  解释:启动网银盾驱动,无此按钮的,可以用安全检测工具“一键修复”达到一样效果。
4:点击“刷新”按钮自动打开建行网银登陆界面,且账号已输入。

如果是用第三方支付平台(比如支付宝)跳转到建行支付的,照上面的安装第7步,做一个CCB沙盘内的IE快捷方式到桌面即可。接下来只要照使用步骤123即可,第4步就不用了,直接打开新做的IE快捷方式,到相关网站支付即可,注意安全。

******************
这里我介绍下为什么要那么设置以及安全性等等一些问题:
沙盘边界用绿色:提醒你当前网站都是信任网站,能确保无毒,所以别随便用CCB的IE快捷方式开网页。
快速恢复页清空:因为无需从沙盘内恢复什么文件到沙盘外,CCB沙盘的收藏夹、IE设置、信任网站都是独立的。
删除调用页从不移除:很明显,移除了CCB沙盘,你的建行网银文件就没了。自动删除是为了防毒清理垃圾,这2项CCB都没。
直接访问页添加IE临时目录:网银需要有网页浏览,必然产生IE临时文件,如果你安装于Y内存盘,可以不设置,更佳安全。
设置CCB沙盘路径到重启不丢失的路径:和不自动删除一样的用意,CCB沙盘内初次安装好的文件是不能丢失的。

关于用管理工具的系统检测、刷新、E路护航的安全检测工具的一键修复,目的就是启动相关的驱动和配套工具,这和沙盘外安装会加入后台服务和启动项的原理一样,只不过一个是自动,一个是手动。
并且因为沙盘内外是两个环境,单单启动网银盾管理工具,并不会去主动加载驱动起来,以和外面的网银盾联系起来。用工具自带的功能按钮去主动联系驱动外面的网银盾,这就是沙盘网银的实现关键点,其它银行的网银工具可以参考这原理。

至于安全性:
可以这么说:比你在外面安装杀毒软件保护还安全,因为沙盘内的网银不开机启动,在沙盘外无服务加载,无注册表及IE记录,不用的时候,就是隐藏在一个长长路径下的一堆文件。这是一个绝对安全的环境,除非银行网站被挂马。


[ 本帖最后由 2012yangyf 于 2012-11-21 13:56 编辑 ]

评分

参与人数 1无忧币 +5 收起 理由
2012sinkr + 5 很给力!

查看全部评分

推荐
发表于 2012-11-20 18:40:17 | 只看该作者

回复 #1 2012yangyf 的帖子

请教一下楼主,它跟影子、冰点系统有什么区别?

点评

www.xinvren.com/book/1/1610/ 仙城之王  发表于 2014-8-19 20:59
回复

使用道具 举报

3#
 楼主| 发表于 2012-11-20 19:20:34 | 只看该作者

回复 #2 2012wuzhong 的帖子

影子系统是整体的虚拟,虽然它的虚拟度最高,但是占用资源也是最大的,并且是个独立系统,无法和ramos组合。而Sandboxie是局部的虚拟。
冰点是个虚拟转存,这点和沙盘有点类似,都是驱动过滤,只不过冰点是写入磁盘空白扇区,文件和扇区的对应关系表保存于内存而不是磁盘,因此重启后即丢失所有文件于操作系统层面,简单的理解就是文件实实在在的写入了空白扇区,但是文件检索表没了.
而Sandboxie是转存到指定的虚拟路径下,但这路径是真实存在于操作系统能识别的磁盘格式上的

归纳之就是:Sandboxie=局部的影子+可保存数据的冰点。
资源占用小,兼容性好,设置灵活。这就是它的特点,因此可以和RAMOS优化组合。

希望能解释清楚了3者的区别,谢谢你的回帖,100多的点击没人回...


那个 我有可能把影子和VMware混淆了,其实影子的原理和冰点一样的,这类软件很多,冰封精灵也是的。

Sandboxie有2种方式对付软件:
1:已经安装好的软件,可以在新沙盘中指定其强制到沙盘内运行,运行过程中产生的新文件和修改已有文件以及注册表变化都在沙盘内部,且可以限制指定软件的运行和联网,不论是安全方面还是对于沙盘外系统的保护都非常优秀。
2:还没有安装的软件,可以直接安装到沙盘内,在沙盘内会提供给和外部一样的环境给它,读取修改创建和删除都在沙盘内部,包括注册表。
永远不会修改沙盘外部的任何文件,至于硬件资源比如音频图形加速等硬件资源可以调用。

这些都非常的适合RAMOS,简直就是为内存系统打造的一样。

[ 本帖最后由 2012yangyf 于 2012-11-20 19:46 编辑 ]
回复

使用道具 举报

4#
发表于 2012-11-20 22:24:44 | 只看该作者

回复 #3 2012yangyf 的帖子

再问一下楼主,每个沙盘都有属于自己的一份注册表吗?如果这样的话,确实是个好东西!
不过,有些可能需要分离,比如qq,注册表可以放入沙盘,但聊天记录应放置在外。不知道这个能否实现?

[ 本帖最后由 2012wuzhong 于 2012-11-20 22:36 编辑 ]
回复

使用道具 举报

5#
发表于 2012-11-21 08:40:05 | 只看该作者
原来楼主的方法在这儿,太好了。Sandboxie.ini,所有相关配置文件都在这个里面么,另外内存盘只有1G,如果有大的文件倒沙如何处理?

谢谢,请朋友给指导一下。
回复

使用道具 举报

6#
发表于 2012-11-21 09:53:20 | 只看该作者
仔细又看了一次,每个沙盘建议自己的保存目录,确实比较方便。

其实云端也是不错的,但是程序装多了,没有SB灵活。
回复

使用道具 举报

7#
发表于 2012-11-21 09:55:26 | 只看该作者
原帖由 2012wuzhong 于 2012-11-20 22:24 发表
再问一下楼主,每个沙盘都有属于自己的一份注册表吗?如果这样的话,确实是个好东西!
不过,有些可能需要分离,比如qq,注册表可以放入沙盘,但聊天记录应放置在外。不知道这个能否实现?


能实现的,恢复目录那块你仔细看一下,楼主也写的比较清楚。自己未测试

RAMOS+SB,原来安装程序基本都是热备份的,现在学习新方法。
回复

使用道具 举报

8#
 楼主| 发表于 2012-11-21 14:16:58 | 只看该作者
原帖由 2012wuzhong 于 2012-11-20 22:24 发表
再问一下楼主,每个沙盘都有属于自己的一份注册表吗?如果这样的话,确实是个好东西!
不过,有些可能需要分离,比如qq,注册表可以放入沙盘,但聊天记录应放置在外。不知道这个能否实现?


每个沙盘都有自己的注册表,各自沙盘保存目录下的RegHive文件就是改动后的注册表文件,和沙盘外注册表独立,但默认可以读取沙盘外注册表与RegHive文件合并为一个完整的注册表,不管怎么样,默认设置是:沙盘内所有操作都不会影响沙盘外(指的是修改和删除,不包括读取,除非另行设定),包括沙盘外注册表也不影响.

QQ之类的聊天记录可以这样实现:比如你安装QQ的时候指定D:\我的文档 为QQ聊天记录保存文件夹,那么你只要在QQ沙盘中设置添加D:\我的文档为快速恢复文件夹即可,当QQ在沙盘内的我的文档有写入和改动时候,会提醒是否同步改动到沙盘外的文档,
还可以设置D:\我的文档为直接访问文件夹(安装于沙盘内的QQ需要设置为完全访问文件夹),这样即可直接无提示的改动到我的文档.


原来楼主的方法在这儿,太好了。Sandboxie.ini,所有相关配置文件都在这个里面么,另外内存盘只有1G,如果有大的文件倒沙如何处理?

谢谢,请朋友给指导一下。


我已经修改增加链接了,上传的配置文件你可以参考下,沙盘默认设置为:从沙盘外复制到沙盘内运行的文件最大不超过48MB,超过了就是只读沙盘外此文件,不复制到沙盘内运行. 至于在沙盘内运行的IE下载下来的几百MB乃至几千MB都不影响,只要你沙盘保存目录容纳的下.
具体我复制段话给你看下:就是那个CHM帮助里面详细有:
"
文件导入 File Migration Settings
文件导入设置
默认,沙盘里的程序是不能直接修改系统文件,修改的是沙盘里的替身
先要从真实系统复制一个一模一样的文件到沙盘里,这个过程就是导入
如果导入一个过大的文件,比如好几G的文件,这样会影响效率,浪费时间,浪费空间
所以,要给导入的文件大小,设置一个上限
超过这个上限,文件就不会复制到沙盘里,不能修改(只读),并且会弹出一个提示
默认上限是49152KB,48MB,已经足够大,常用的网络程序不会导入这么大的文件

CopyLimitKb=49152
CopyLimitSilent=y
当文件超过导入上限,不弹出提示
CopyLimitSilent=n
当文件超过导入上限,弹出提示

对于迁移文件,常见的错误理解
1.超过导入文件上限,会直接修改真实系统的文件
完全错误,超过导入上限的文件,是只读访问,不能被修改,并且不会复制到沙盘里

2.超过导入上限的下载文件,会直接建立在真实系统或者不能完成下载
完全错误,导入是将系统中已有的文件复制到沙盘里,在沙盘中修改
下载是在沙盘里建立系统原来没有的新文件
导入上限只对系统已有文件导入进入沙盘起作用
对于沙盘程序新建立的新文件,没有大小限制
哪怕是1M的上限,下载1G的文件,只要硬盘空间足够大,完全没有问题


如果,你将浏览器导入上限设置成几百M或者几G,说明你对导入上限的理解有误。
"
回复

使用道具 举报

9#
发表于 2012-11-22 13:00:23 | 只看该作者
楼主,IDM下载如何设置,用沙盘安装在E盘,可以正常启动。 直接访问目录 也设置过了。

老是下载过程发生错误,退出,求解。
回复

使用道具 举报

10#
 楼主| 发表于 2012-11-22 15:12:26 | 只看该作者
原帖由 ok98 于 2012-11-22 13:00 发表
楼主,IDM下载如何设置,用沙盘安装在E盘,可以正常启动。 直接访问目录 也设置过了。

老是下载过程发生错误,退出,求解。


记住,国外常用软件在沙盘设置-应用程序-下载管理器-里面选择,一般都有默认模板.
回复

使用道具 举报

11#
发表于 2012-11-23 15:35:05 | 只看该作者
谢谢楼主的经验分享!
我才发现原来RAMOS有这么好的维护方法!
以前也看过沙盘系统的介绍但是没有楼主介绍的深入!
回复

使用道具 举报

12#
发表于 2012-12-25 09:34:41 | 只看该作者
强帖,换了电脑后就好久没弄ramos,最近又开始感兴趣了,这个解决了之前的很多问题,回头仔细研究
回复

使用道具 举报

13#
发表于 2012-12-26 12:22:05 | 只看该作者
好文好文,支持楼主分享~
回复

使用道具 举报

14#
发表于 2012-12-26 16:39:58 | 只看该作者
软件运行沙盘里面,改写注册表怎查看及导出来?

..\Sandbox\"你的用户名"\DefaultBox\RegHive
回复

使用道具 举报

15#
 楼主| 发表于 2012-12-27 00:04:55 | 只看该作者
原帖由 2010pp00 于 2012-12-26 16:39 发表
软件运行沙盘里面,改写注册表怎查看及导出来?

..\Sandbox\"你的用户名"\DefaultBox\RegHive


有专门的小软件可以查看这文件,不过有个更简单的方法:
你运行激活这沙盘,然后运行regedit,在HKEY_USERS下,看见了么?Sandbox_Administrator_XXXX....
回复

使用道具 举报

16#
发表于 2013-1-31 23:58:30 | 只看该作者
杨,看了好几遍,依然没明白沙盘怎么玩 哈,继续学习
回复

使用道具 举报

17#
发表于 2014-6-6 06:20:50 | 只看该作者
文件都不能下载了.
回复

使用道具 举报

18#
发表于 2014-6-7 00:12:37 | 只看该作者
两个帖子都仔细看了,长知识了,多谢楼主!
基本上是一个完美的解决方:RamOS+SBIE!
回复

使用道具 举报

19#
发表于 2014-6-7 07:50:31 | 只看该作者
楼主辛苦了,谢谢经验分享。
回复

使用道具 举报

20#
发表于 2014-6-10 21:36:14 | 只看该作者
谢谢!辛苦了!又学了一招。
回复

使用道具 举报

21#
发表于 2014-6-14 12:37:39 | 只看该作者
太厉害了,楼主是个干事的人才,学习,
回复

使用道具 举报

22#
发表于 2014-6-14 17:03:19 | 只看该作者
看了许久,还是不明白.
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|捐助支持|无忧启动 ( 闽ICP备05002490号-1 )

闽公网安备 35020302032614号

GMT+8, 2024-11-26 16:30

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表