关于 sandboxie 中使用微信的疑问

2022-04-14 12:27:15 +08:00
 nowheretoseek

一直在 sandboxie 中使用微信,这么做的 v2exer 应该不少,有几个问题请教:

1 、sandboxie 是黑名单权限控制,我是用 ClosedFilePath 关闭了微信等程序对基本全部路径的访问权限,然后用 OpenPipePath 给它保留了%Personal%\WeChat Files\的访问权限,太麻烦了,并且挂一漏万。 1.x 后的版本好像支持白名单了,不过付费 /捐赠后才能使用,配置路径是资源访问->资源访问权限策略->访问权限模式->隐私模式。我想知道这个是白名单吗,好用吗?好用的话打算买一份。

2 、使用 sandboxie 是为了应对流氓软件,不想打开链接时启动一个沙盒中的浏览器实例,那么可以给打开链接这种动作设置豁免吗,即在沙盒外的浏览器打开链接。

3 、在用 1.0.17 版本,控制台不断发 SBIE2111 日志,似乎 wechatplayer 不断要求访问其他进程并被拦截,刚更新的 1.0.18changelog 有以下说明,那么微信访问沙盒外进程的内存是正常操作吗?

Failed memory read attempts to unboxed processes will no longer cause message 2111 by default -- Note: the message can be enabled in the settings if desired with "NotifyProcessAccessDenied=y"

2251 次点击
所在节点    问与答
11 条回复
mxT52CRuqR6o5
2022-04-14 12:56:54 +08:00
都开源了,社区有维护全功能版的
mxT52CRuqR6o5
2022-04-14 12:59:36 +08:00
其实用火绒限制微信体验更好(火绒论坛有针对腾讯的限制规则),我在 sandboxie 里用微信,拖拽都不正常
disk
2022-04-14 14:25:13 +08:00
1. 隐私模式实际上就是一组预置的规则,而且不是开箱即用,对不同的程序需要设置对应的访问授权,不然会无法运行。对于微信要开放 C:\Users\popdi\AppData\Roaming\Tencent 和 Wechat Files 的目录
2. 不确定好不好用,配置加上 BreakoutProcess=chrome.exe
3. 大部分是正常的,程序会用到进程间通讯
XiLingHost
2022-04-14 14:34:59 +08:00
最不容易出问题的感觉还是直接开个虚拟机丢进去用
nowheretoseek
2022-04-14 14:54:16 +08:00
@disk 谢谢,搜了下发现 BreakoutProcess=chrome.exe 是 1.0.8 加上的,测试发现无捐赠整书不能用
nowheretoseek
2022-04-14 14:55:01 +08:00
@XiLingHost 虚拟机当然好,无奈机器配置有限,并且用虚拟机相对来说不方便
ZeawinL
2022-04-14 21:21:57 +08:00
你也可以使用 windows Run as a Different User 方案.
1. 安装 Scoop
2. 添加这位大佬的 bucket https://github.com/chawyehsu/dorado
3. 使用 scoop 安装微信, 然后找到对应的应用路径
4. 新建新的 windows 用户, 切换到该用户, 确保对应用户目录被创建.
5. 切换回主用户, 将步骤 3 找到的微信程序, 复制到步骤 4 新建的用户目录下 (通常在 C:\Users\{user_name}\...)
6. 主用户下, shift + 右键 微信程序, Run as a Different User, 完成
步骤 6 还能改成命令行, 一行命令就能让微信以其它 windows 用户身份运行, 参考:
https://winaero.com/run-app-different-user-windows-10/

以其它用户运行的微信, 就无法访问主用户的目录了, 可以试着点击微信的传文件, 在里面是选择不了并且看不了其它用户的文件的, 就是利用 windows 自身的用户文件隔离特性. 在此微信下触发的动作, 也是以其它用户的方式运行的.
nowheretoseek
2022-04-15 10:11:51 +08:00
@ZeawinL 谢谢,我想这个办法可以屏蔽微信对其它用户家目录的访问,无法屏蔽它对其他目录的访问吧?
ZeawinL
2022-04-15 11:34:25 +08:00
@nowheretoseek 安装在 C:\Program Files 里的程序, 是不是安装时提示 '为所有用户安装'? 所以这里面的东西一般情况下是所有用户都可读的. 如果你想限制某用户的读取, 我想可以右键该文件夹的属性, 在安全 tab 里面的用户组, 调整对应用户的读写权限就可以了的.
nowheretoseek
2022-04-15 11:52:40 +08:00
@ZeawinL 的确是这样,谢谢,我没想到。
jackzj
2022-04-18 17:01:00 +08:00
1 ,对于微信来讲隐私模式(捐赠功能)会导致微信的小程序不能使用。
建议使用安全防护加固型沙盒(橙色那个),因为在 V1.*大版本后增加了黑白名单排除读取写入。
我的文件权限配置:
OpenPipePath=C:\Users\jack\Documents\WeChat Files
OpenPipePath=C:\Users\jack\Desktop
NormalFilePath=C:\Program Files (x86)
NormalFilePath=C:\Program Files
NormalFilePath=C:\Users\jack\AppData\Roaming\Tencent
NormalFilePath=C:\Windows
NormalFilePath=C:\Users\jack\Downloads
WriteFilePath=D:\
WriteFilePath=C:\
微信只能读取上面写明的路径,C 、D 盘的其他路径微信读取不到。

2 ,具体不清楚。

3 ,1.0.18 已经修复了默认屏蔽该通知 ,另外 18 版本看 github 更新了 且增加了隐私保护,限制沙盒内程序读取沙盒外程序的内存。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/846916

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX