V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
nowheretoseek
V2EX  ›  问与答

关于 sandboxie 中使用微信的疑问

  •  
  •   nowheretoseek · 2022-04-14 12:27:15 +08:00 · 2251 次点击
    这是一个创建于 978 天前的主题,其中的信息可能已经有所发展或是发生改变。

    一直在 sandboxie 中使用微信,这么做的 v2exer 应该不少,有几个问题请教:

    1 、sandboxie 是黑名单权限控制,我是用 ClosedFilePath 关闭了微信等程序对基本全部路径的访问权限,然后用 OpenPipePath 给它保留了%Personal%\WeChat Files\的访问权限,太麻烦了,并且挂一漏万。 1.x 后的版本好像支持白名单了,不过付费 /捐赠后才能使用,配置路径是资源访问->资源访问权限策略->访问权限模式->隐私模式。我想知道这个是白名单吗,好用吗?好用的话打算买一份。

    2 、使用 sandboxie 是为了应对流氓软件,不想打开链接时启动一个沙盒中的浏览器实例,那么可以给打开链接这种动作设置豁免吗,即在沙盒外的浏览器打开链接。

    3 、在用 1.0.17 版本,控制台不断发 SBIE2111 日志,似乎 wechatplayer 不断要求访问其他进程并被拦截,刚更新的 1.0.18changelog 有以下说明,那么微信访问沙盒外进程的内存是正常操作吗?

    Failed memory read attempts to unboxed processes will no longer cause message 2111 by default -- Note: the message can be enabled in the settings if desired with "NotifyProcessAccessDenied=y"

    11 条回复    2022-04-18 17:01:00 +08:00
    mxT52CRuqR6o5
        1
    mxT52CRuqR6o5  
       2022-04-14 12:56:54 +08:00 via Android
    都开源了,社区有维护全功能版的
    mxT52CRuqR6o5
        2
    mxT52CRuqR6o5  
       2022-04-14 12:59:36 +08:00 via Android   ❤️ 1
    其实用火绒限制微信体验更好(火绒论坛有针对腾讯的限制规则),我在 sandboxie 里用微信,拖拽都不正常
    disk
        3
    disk  
       2022-04-14 14:25:13 +08:00   ❤️ 1
    1. 隐私模式实际上就是一组预置的规则,而且不是开箱即用,对不同的程序需要设置对应的访问授权,不然会无法运行。对于微信要开放 C:\Users\popdi\AppData\Roaming\Tencent 和 Wechat Files 的目录
    2. 不确定好不好用,配置加上 BreakoutProcess=chrome.exe
    3. 大部分是正常的,程序会用到进程间通讯
    XiLingHost
        4
    XiLingHost  
       2022-04-14 14:34:59 +08:00
    最不容易出问题的感觉还是直接开个虚拟机丢进去用
    nowheretoseek
        5
    nowheretoseek  
    OP
       2022-04-14 14:54:16 +08:00
    @disk 谢谢,搜了下发现 BreakoutProcess=chrome.exe 是 1.0.8 加上的,测试发现无捐赠整书不能用
    nowheretoseek
        6
    nowheretoseek  
    OP
       2022-04-14 14:55:01 +08:00
    @XiLingHost 虚拟机当然好,无奈机器配置有限,并且用虚拟机相对来说不方便
    ZeawinL
        7
    ZeawinL  
       2022-04-14 21:21:57 +08:00   ❤️ 3
    你也可以使用 windows Run as a Different User 方案.
    1. 安装 Scoop
    2. 添加这位大佬的 bucket https://github.com/chawyehsu/dorado
    3. 使用 scoop 安装微信, 然后找到对应的应用路径
    4. 新建新的 windows 用户, 切换到该用户, 确保对应用户目录被创建.
    5. 切换回主用户, 将步骤 3 找到的微信程序, 复制到步骤 4 新建的用户目录下 (通常在 C:\Users\{user_name}\...)
    6. 主用户下, shift + 右键 微信程序, Run as a Different User, 完成
    步骤 6 还能改成命令行, 一行命令就能让微信以其它 windows 用户身份运行, 参考:
    https://winaero.com/run-app-different-user-windows-10/

    以其它用户运行的微信, 就无法访问主用户的目录了, 可以试着点击微信的传文件, 在里面是选择不了并且看不了其它用户的文件的, 就是利用 windows 自身的用户文件隔离特性. 在此微信下触发的动作, 也是以其它用户的方式运行的.
    nowheretoseek
        8
    nowheretoseek  
    OP
       2022-04-15 10:11:51 +08:00
    @ZeawinL 谢谢,我想这个办法可以屏蔽微信对其它用户家目录的访问,无法屏蔽它对其他目录的访问吧?
    ZeawinL
        9
    ZeawinL  
       2022-04-15 11:34:25 +08:00
    @nowheretoseek 安装在 C:\Program Files 里的程序, 是不是安装时提示 '为所有用户安装'? 所以这里面的东西一般情况下是所有用户都可读的. 如果你想限制某用户的读取, 我想可以右键该文件夹的属性, 在安全 tab 里面的用户组, 调整对应用户的读写权限就可以了的.
    nowheretoseek
        10
    nowheretoseek  
    OP
       2022-04-15 11:52:40 +08:00
    @ZeawinL 的确是这样,谢谢,我没想到。
    jackzj
        11
    jackzj  
       2022-04-18 17:01:00 +08:00   ❤️ 1
    1 ,对于微信来讲隐私模式(捐赠功能)会导致微信的小程序不能使用。
    建议使用安全防护加固型沙盒(橙色那个),因为在 V1.*大版本后增加了黑白名单排除读取写入。
    我的文件权限配置:
    OpenPipePath=C:\Users\jack\Documents\WeChat Files
    OpenPipePath=C:\Users\jack\Desktop
    NormalFilePath=C:\Program Files (x86)
    NormalFilePath=C:\Program Files
    NormalFilePath=C:\Users\jack\AppData\Roaming\Tencent
    NormalFilePath=C:\Windows
    NormalFilePath=C:\Users\jack\Downloads
    WriteFilePath=D:\
    WriteFilePath=C:\
    微信只能读取上面写明的路径,C 、D 盘的其他路径微信读取不到。

    2 ,具体不清楚。

    3 ,1.0.18 已经修复了默认屏蔽该通知 ,另外 18 版本看 github 更新了 且增加了隐私保护,限制沙盒内程序读取沙盒外程序的内存。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5785 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 01:42 · PVG 09:42 · LAX 17:42 · JFK 20:42
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.