担心流氓软件扫盘?详解沙盒软件 Sandboxie Plus
事因看到了之前佬友发帖推荐一个专门用来安装国产应用的沙盒软件 Sandboxie-plus ,本人有隐私洁癖又懒得搞两台机器,于是稍微深入研究了一下这个沙盒软件,用了一段时间感觉还不错,来跟佬友分享一下使用方式。
为了方便查阅,我会把速通教程和注意事项放在前面,关于 Sandboxie 证书区别 / 沙箱区别 / 具体功能的详解会放在后面。
声明:全文链接不包含 AFF。未经许可不允许转载。
为什么要用沙盒?
因为有些软件会偷偷扫盘 / 监听剪贴板。或者下载了不明来历的程序,担心其偷偷篡改系统设置和重要文件。
而众所周知 Windows 的系统机制默认并不会阻止这些行为。
有时虽然没到扫盘 / 监听那么严重,但退出应用后还有进程残留的软件其实也不在少数。
总之如果你对软件掌控欲比较强 / 不信任某些软件 / 单纯有隐私洁癖,都可以考虑使用看看。
另外这篇文章也会介绍 Sandboxie 里不同安全和隐私级别的沙箱,也许总有一款适合你。
为什么不选其他方案?
- VM 虚拟机要开一个系统,开起来太吃资源,如果拿来日常跑一个或几个小软件未免太奢侈
- 本地多用户 + 手动权限控制,太硬核太麻烦
不适合本懒人
Sandboxie Plus 特点
- 非常轻量,启动极快,占用 CPU 和内存很小
- 图形化界面算友好,有很细节的设置选项(反面来说也非常复杂,小白研究起来很不友好,这也是为什么浅写这篇教程的原因)
- 沙盒内数据可以持久化,可以跑日常软件诸如微信 QQ 度盘等等,不会丢失记录
- 会装载底层驱动和服务,因此会触发某些严格的游戏反作弊机制,详见
速通配置注意事项及解决方法 - Github 自编译门槛非常高。非常建议直接付费买证书,详见
各证书可使用的沙箱一览和购买渠道与注意事项
速通教程(以微信为例)
以下均以付费版蓝箱为例
安装
- 官网下载最新版本 Sandboxie-Plus.exe。注意不是 Sandboxie-Classic,详见
Sandboxie Plus和Classic的区别。 - 除非你有特定需求,否则安装的时候不建议勾选
提取全部文件以备便携化使用,选了的话会被频繁请求管理员权限。 - 用途选
个人,商业要买超贵凭证。另外要注意这个选项选定后,后续不能再更改。其他默认即可。
付费认证
- 菜单栏
选项-全局设置-左侧栏捐赠支持-Sandboxie支持,将获得的密钥填入输入框内,点击应用和 OK。 - 认证成功后,输入框底色会变成浅绿色,即可解锁高级功能。
设置沙盒
左上角
沙箱-创建沙箱,输入沙箱名字,选择蓝色的具有数据保护的沙箱。考虑到后续希望单独控制每个软件的访问范围,建议一个软件给一个单独的沙箱。
对着新建的沙箱
双击或右键-沙箱选项,打开沙箱的设置。然后在左侧栏最底部找到配置文本,将里面默认的配置清空,并复制以下配置到配置文本里。注意修改ForceFolder和OpenFilePath中的路径!!Enabled=y BlockNetworkFiles=y BorderColor=#7f0055,ttl,3,192 Template=AutoRecoverIgnore Template=LingerPrograms Template=BlockPorts Template=qWave Template=FileCopy Template=SkipHook Template=OpenBluetooth Template=BlockAccessWMI Template=HideInstalledPrograms ConfigLevel=10 UseFileDeleteV2=y UseRegDeleteV2=y AutoRecover=y CopyLimitKb=-1 NeverRemove=y ForceProcess=Weixin.exe ForceFolder=E:\Program Files\Tencent\Weixin HideNonSystemProcesses=y UsePrivacyMode=y BoxNameTitle=- LingerExemptWnds=n LingerLeniency=n OpenFilePath=E:\Users\电脑用户名\xwechat_files OpenFilePath=C:\Users\电脑用户名\AppData\Roaming\Tencent OpenFilePath=E:\Program Files\Tencent OpenFilePath=C:\ProgramData\Tencent OpenFilePath=E:\Users\电脑用户名\Documents\WeChat Files HideFirmwareInfo=y RandomRegUID=y HideDiskSerialNumber=y HideNetworkAdapterMAC=y CustomLCID=2052 ForceChildren=Weixin.exe CustomColor=y注:该速通配置为极度不信任模式,默认隐藏非必要路径、虚拟注册表、隐藏进程、隐藏硬件信息。相当于把微信关了小黑屋,它不知道你是谁,也不知道你装了什么软件、在干什么。但是配置好
OpenFilePath路径后,微信是可以正常更新和保存聊天记录的。此配置默认开启了允许访问系统剪贴板,需要关闭请见速通配置注意事项及解决方法。每个参数具体含义请见设置&配置文本讲解。建议电脑全局搜索关键词确认所有相关的路径都已填写,否则打开微信时会报错或者有些奇奇怪怪的 bug(其他软件同理)。可以用
Everything这个第三方工具搜索程序关键词,确认可能涉及的目录有哪些。然后
应用,确定。
检查
沙箱-维护里的连接是否为灰色,如果是,则 Sandboxie Plus 已在运行状态。接下来只要你启动微信,微信就会自动被归到沙箱中运行。
其他想要放进沙盒的软件也同理,可以直接复制配置,然后修改对应的
ForceProcess(强制入沙,即监测到该程序启动就自动归入沙箱中运行)、ForceFolder(同上,只是变更为监测文件夹内的文件)、ForceChildren(同上,但由该程序触发的子进程也会被强制入沙)、OpenFilePath(允许该沙箱访问的文件夹)即可。
速通配置注意事项及解决方法
关于剪贴板:以上速通配置限制了微信能够访问的文件夹,禁止访问了注册表、硬件信息、非必要系统文件夹等。但并没有限制微信访问剪贴板!
- 限制方法:如果需要禁止访问剪贴板,可以在沙箱设置的
常规选项-限制选项-其他限制-勾选阻止访问系统剪贴版进行阻止。我给的配置默认没有阻止,是因为我觉得这个选项要看个人愿意牺牲多少便利性。 - 注意事项:Sandboxie Plus 目前管理剪贴板的方式只能一刀切,这意味着如果你阻止它访问剪贴板,那么你将完全无法在微信中使用 ctrl+c 和 ctrl+v,甚至是微信内部范围的复制粘贴功能都将无法使用。
- 对的,Sandboxie Plus 对于剪贴板权限的管理目前只能全开或全关,没有中间态。所以要不要开放需要自己斟酌。为了大多数人使用方便,我在这里默认开启了。
- 限制方法:如果需要禁止访问剪贴板,可以在沙箱设置的
关于文件拖放:在速通配置中,你将无法再拖放
OpenFilePath中已开放路径之外的文件到微信中直接发送,微信也没有办法把文件保存到桌面之类的地方了。原因很简单,微信没有权限访问你没有指定的文件夹。- 解决方法:把你常用的文件夹放入
OpenFilePath中即可。如果不想直接开放诸如桌面之类的文件夹,也可以学我单独建一个Exchage文件夹,专供沙盒软件发送或下载文件用,也只需要新建一个文件夹,然后加一行OpenFilePath即可。
- 解决方法:把你常用的文件夹放入
关于游戏冲突:由于 Sandboxie Plus 会装载底层驱动(
SbieDrv.sys)和服务(SbieSvc.exe),因此哪怕你没有运行沙盒软件,但只要 Sandboxie Plus 启用了驱动和服务,某些严格的游戏反作弊检测依然会将 Sandboxie Plus 视为潜在的作弊工具而阻止游戏启动或游戏异常。- 解决方法:建议玩游戏的时候不要启动沙盒软件及沙盒内软件(比如微信) 或者使用便携版(在安装时勾选
提取全部文件以备便携化使用)。 - 关闭和开启 Sandboxie Plus 驱动和服务:在开启游戏之前打开 Sandboxie Plus 本体,点击
沙箱-维护-停止所有,等 Sandboxie Plus 标题栏变为未连接即可。玩完游戏如果要开微信,就得再次打开 Sandboxie Plus 本体,点击沙箱-维护-连接,否则微信将不会在沙箱中运行,而是直接在原生环境中运行!
- 解决方法:建议玩游戏的时候不要启动沙盒软件及沙盒内软件(比如微信) 或者使用便携版(在安装时勾选
在沙箱中直接安装程序:如果其他软件在
ForceProcess、ForceFolder、ForceChildren、OpenFilePath配置中遇到了困难或者奇怪的 bug,还可以考虑直接在沙箱中重新安装一遍。- 运行安装包:在沙箱上
右键-运行-运行程序-浏览-选择安装包。 - 创建快捷方式:
右键沙箱-沙箱内容-创建快捷方式-选择保存快捷方式的位置,这样可以直接通过快捷方式唤起安装在沙箱内的应用。 - 参数变更:如果在沙箱内直接安装程序,建议将
OpenFilePath参数修改为OpenPipePath,区别见下文。
- 运行安装包:在沙箱上
设置 & 配置文本讲解
主要有两个设置,全局设置和沙箱设置。全局设置在选项-全局设置里,看个人喜好调整即可,不细讲了。
讲讲沙箱设置。
在上面的速通版教程里有一大串配置文本,这个配置文本里的每一行,其实都对应着图形化界面的设置。
因为上面是速通,图省事我就直接给了配置文本。所以其实你也可以通过在设置界面点点点来改变配置文本的内容,两者是互通的。
| 配置项 | 含义 | 备注 | 选项位置 |
|---|---|---|---|
| UsePrivacyMode=y | 启用隐私模式(在 UI 中显示为蓝色沙箱) | 开启文件访问的白名单模式,只需要单独设置几个开放的文件夹即可达成高级隐私防护 | 通用选项 - 沙箱选项 - 沙箱类型预设配置 |
| HideNonSystemProcesses=y | 隐藏非系统进程 | 无法看到沙盒外部正在运行的其他软件,防止进程列表扫描 | 高级选项 - 进程 - 勾选 “不允许沙箱内的进程查看任何沙箱外运行的进程” |
| Template=BlockAccessWMI | 禁用 WMI 访问 | 禁止查询详细的系统指纹信息(主板序列号、系统补丁情况等) | 高级选项 - 进程 - 勾选 “防止沙箱进程通过 WMI 访问系统细节信息” |
| Template=HideInstalledPrograms | 隐藏已安装程序列表 | 防止读取注册表中的已安装软件列表 | 高级选项 - 进程 - 勾选 “隐藏宿主汪册表的软件卸载项” |
| HideFirmwareInfo=y | 隐藏 / 伪造固件信息(如 BIOS/UEFI 信息) | - | 高级选项 - 隐私 - 勾选 “隐藏固件信息” |
| RandomRegUID=y | 使用随机的注册表唯一标识符(Registry UID) | - | 高级选项 - 隐私 - 勾选 “混淆注册表中已知的唯一标识符” |
| HideDiskSerialNumber=y | 隐藏或伪造硬盘序列号 | - | 高级选项 - 隐私 - 勾选 “隐藏硬盘序列号” |
| HideNetworkAdapterMAC=y | 隐藏或伪造网卡 MAC 地址 | - | 高级选项 - 隐私 - 勾选 “隐藏网卡 MAC 地址” |
| CustomLCID=2052 | 伪造系统语言环境 | 2052 代表 简体中文 (zh-CN) | 高级选项 - 隐私 - 使用自定义区域设置 / 语言 ID |
| ForceProcess=Weixin.exe | 强制入沙 (进程) | 只要在沙盒外启动 Weixin.exe,它就会被强制拉入这个沙盒运行 | 程序控制 - 必沙程序 - 必沙程序 |
| ForceFolder=… | 强制入沙 (文件夹) | 只要是从这个文件夹启动的任何程序,都会强制入沙 | 程序控制 - 必沙程序 - 必沙目录 |
| ForceChildren=Weixin.exe | 强制入沙 (子进程) | 微信启动的任何子进程也会被强制锁定在这个沙盒中 | 程序控制 - 必沙程序 - 强制子进程 |
| LingerExemptWnds=n | 窗口残留设置 | 主程序关闭后,如果后台窗口或进程试图驻留,沙盒会更积极地终止它们。当前无设置。 | 程序控制 - 停止行为 |
| LingerLeniency=n | 进程残留设置 | 主程序关闭后,如果后台窗口或进程试图驻留,沙盒会更积极地终止它们。当前无设置。 | 程序控制 - 停止行为 |
| OpenFilePath=… | 允许沙盒内程序直接访问该文件夹 | 这些路径下的文件修改会直接写入真实硬盘,不会被沙盒隔离 | 资源访问 - 文件 - 访问 - 开放(如果将 “开放” 修改为其他选项,则参数不再为 OpenFilePath) |
| UseFileDeleteV2=y | 启用文件虚拟化机制 | 当沙盒内的程序试图读取、写入或删除文件时,Sandboxie 会拦截这些操作并重定向到沙箱文件夹中,从而保护宿主机系统不被修改。 | 文件选项 - 文件选项 - 沙箱结构 - 虚拟化方案 |
| UseRegDeleteV2=y | 启用注册表虚拟化机制 | 当沙盒内的程序试图读取、写入或删除注册表时,Sandboxie 会拦截这些操作并重定向到沙箱内虚拟的注册表中,从而保护宿主机系统不被修改。 | 文件选项 - 文件选项 - 沙箱结构 - 虚拟化方案 |
| CopyLimitKb=-1 | 禁用文件复制大小限制 | 设置为 - 1 表示允许复制任意大小的文件进入沙盒,发送大文件或更新时避免报错很有用 | 文件选项 - 文件迁移 - 取消勾选 “复制文件大小限制” |
| BlockNetworkFiles=y | 阻止访问网络共享文件 | 禁止沙盒内的程序访问任何网络路径,比如 NAS 或网络共享里的特定文件夹。 | 网络选项 - 其他选项 - 勾选 “拦截对网络文件和文件夹的访问,除非专门开放访问权限” |
| BorderColor=#7f0055,ttl,3,192 | 沙箱程序标识 (边框颜色) | 鼠标移至程序边缘时显示,方便识别程序是否正在沙箱内运行 | 通用选项 - 沙箱选项 - 外观 - 沙箱内窗口边框 |
| BoxNameTitle=- | 在标题栏显示的沙盒名称前缀 | 设置为 - 通常表示不显示名称前缀(如 [#]),让窗口看起来像原生应用 | 通用选项 - 沙箱选项 - 外观 - 标题栏中的沙箱标识 |
| NeverRemove=y | 启用沙箱删除保护 | 防止你手滑删除沙盒 | 文件选项 - 文件选项 - 沙箱删除选项 - 半勾选 “保护此沙箱免受删除或清空” |
| OpenClipboard=n | 阻止访问系统剪贴板(n = 阻止,y = 放行) | 读写混合一刀切功能。如果你阻止它访问剪贴板,那么你将完全无法在该程序中使用 ctrl+c 和 ctrl+v,甚至是该程序内部范围的复制粘贴功能都将无法使用。 | 常规选项 - 限制选项 - 其他限制 - 勾选 “阻止访问系统剪贴板” |
设置里可能会有很多看不懂的选项,这个时候可以查阅官方文档。
需要特别提一嘴的是 OpenFilePath 和 OpenPipePath。资源访问-文件-访问设置为开放则为 OpenFilePath,设置为完全开放则为 OpenPipePath。
根据 Sandboxie 的文档,OpenPipePath 和 OpenFilePath 的主要功能都是允许沙盒内的程序直接访问和修改宿主机上的特定文件或资源(即 “穿透” 沙盒),但它们的核心区别是对 “沙盒内程序” 穿透行为的限制有所不同。
OpenFilePath:
- 核心机制:仅当运行的程序直接安装在宿主机上时,该规则才生效。如果程序的可执行文件位于沙盒内部(例如直接安装在沙盒内),则
OpenFilePath设置不会生效。 - 用途:主要用于允许访问常规的文件和文件夹。如允许浏览器将书签保存到宿主机,或者允许直接修改 “文档” 文件夹中的文件。
- 核心机制:仅当运行的程序直接安装在宿主机上时,该规则才生效。如果程序的可执行文件位于沙盒内部(例如直接安装在沙盒内),则
OpenPipePath:
- 核心机制:无论运行的程序安装于沙盒外部还是内部,该规则始终生效。开放度更高,安全性更低。 沙盒内部创建或下载的程序(如潜在的恶意软件),也能通过此设置修改宿主机上的文件。建议仅在必要时使用。
- 用途:也可以用于允许访问文件和目录,但主要是可以允许沙盒程序与宿主机的服务进行通信(如打印服务或用户账户管理服务等)。
Sandboxie Plus 和 Classic 的区别
两者都是基于老牌沙盒软件 Sandboxie 开发的开源版本,共享相同的核心组件(驱动程序和服务)。原软件 Sandboxie 已于 2019 年停止维护,并被原公司开源。
Classic 的 UI 框架太古老,因此不再进行开发,所以缺少新功能的图形化配置界面。
Plus 使用了新 UI 框架且还在持续开发中,所以有很多 Classic 版本 UI 中没有的功能。
证书体系和功能的区别
| 证书类型 | 设备 / 用户限制 | 过期后行为 | 高级功能包 | 获取途径 |
|---|---|---|---|---|
| Free (免费版) | 无限制 | 永久免费 | 不可用 (功能受限) | 官网购买 / Patreon 订阅 / 爱发电订阅 / 那个市场的神秘力量 |
| Home (家庭订阅版) | 个人所有设备 | 停止工作 (需续费) | 需单独购买 | 同上 |
| Personal (个人永久版) | 个人所有设备 | 仍可使用旧版本 (仅停止更新) | 需单独购买 | 同上 |
| Family Pack (家庭包) | 覆盖全家人 (含不同住址) | 停止工作 (需续费) | 需单独购买 | 同上 |
| Eternal (永久) | 个人及家人 | 永久更新与使用 | 已包含 | 同上 |
| Business (商业版) | 看具体 PC 数量 | 停止工作 (需续费) | 需单独购买 | 同上 |
| Contributor (贡献者) | 个人使用 | 永不过期 | 已包含 | 贡献代码 / 翻译文档等,需要联系开发者获取 |
- Home/Family/Business 类似于 “订阅 / 租赁”,证书过期后软件的高级功能会停止工作。
- Personal 类似于 “买断当前版本 + 1 年更新”,证书过期后将无法下载新版本,但可以永久使用过期前发布的旧版本,且高级功能保持解锁。
- 高级功能包大概包含
沙盒加密、SOCKS5 代理注入、DNS 过滤等功能,大多数人用不到。
各证书可使用的沙箱一览
| 沙箱类型 | 主要功能 | 免费版 (Free) | 标准支持者 (Home/Personal/Business) | 高级 / 永久支持者 (Eternal/Contributor) |
|---|---|---|---|---|
| 标准隔离 (黄色) | 基础的文件与注册表隔离 | 完全可用 | 完全可用 | 完全可用 |
| 应用分身 (绿色) | 兼容性模式 (无令牌隔离) | 有限制 (5 分钟后终止) | 完全可用 | 完全可用 |
| 数据保护 (蓝色) | 隐私模式 (隐藏个人数据) | 有限制 (5 分钟后终止) | 完全可用 | 完全可用 |
| 安全强化 (橙色) | 安全模式 (限制系统调用) | 有限制 (5 分钟后终止) | 完全可用 | 完全可用 |
| 加密沙箱 (黑色) | 机密模式 (AES 加密 + 防读取) | 不可用 | 需购买高级包 | 完全可用 |
Free 可用的黄色沙箱,其文件 / 目录隔离属于黑名单模式。意思是如果你不指定不可访问哪些文件夹的话,程序默认都可访问。
如果试图用黄箱完成蓝箱隐私防护效果的话,你也许需要手动添加成百上千条 ClosedFilePath 限制。
如果图省事而尝试封印整个 C 盘的话程序会直接无法运行,所以黄色沙箱适合只想防护个别文件夹的人使用。
Free 以上的级别,除了黑色沙箱比较特殊之外,其他沙箱均可使用。
各个沙箱的具体介绍
1 和 5 为组合沙箱,黑色加密沙箱大多数人用不到,所以只讲一下剩下的四种基础沙箱(但其实每种沙箱都可以自定义,默认沙箱模板只是更快更方便而已)。
标准沙箱
- 适用场景:日常软件隔离、测试未知程序。
- 特点:提供标准的文件系统和注册表虚拟化。即默认允许读取宿主机的大部分文件(如 C 盘文件),但写入操作会被重定向到沙箱的文件夹中,从而保护宿主机文件不被修改。
- 安全性:拥有独立的令牌隔离,比应用分身(绿箱)具有更高的安全性。
应用分身沙箱
- 适用场景:应用多开(如微信)、运行在标准沙箱中无法启动的复杂软件(如某些带有反作弊的游戏、复杂的开发工具)。
- 特点:牺牲部分安全性以换取最大兼容性。也保留文件和注册表的虚拟化(写入重定向),防止污染系统。
- 安全性:无令牌隔离,进程以原始用户权限运行,不剥夺管理员权限。
安全强化沙箱
- 适用场景:运行极高风险的恶意软件或病毒样本分析。
- 特点:牺牲部分兼容性以换取最大安全性。严格限制程序可以调用的 Windows 内核函数,仅允许白名单内的系统调用,默认禁止访问驱动器和硬件设备。
- 安全性:最高级别防护。
数据保护沙箱
- 适用场景:保护个人隐私数据不被恶意软件读取(如运行毒瘤软件、不可信软件和网页)。
- 特点:默认情况下仅允许读取
C:\Windows和C:\Program Files等系统运行必须的路径,注册表只能读取 系统配置,无法读取用户配置,沙箱内进程无法读取宿主机上的个人文件(如文档、图片、桌面),只能看到空的文件夹。 - 安全性:中等,也可以自定义令牌隔离 / 管理员权限。
购买渠道与注意事项
- 官网和 Patreon 订阅:贵。
所以我根本没买。猜测需要外币卡。 - 爱发电:中国特供购买渠道,是某 B 站 UP 主联系开发者协助开通的渠道。最低 8 元 / 月即可解锁红蓝箱,28 元以上即可解锁和开发者 email 热聊。各档位具体权益可以去爱发电细看。
- 那个市场:付费破解。相当于买断当前版本,不能更新。贸然运行他人提供的破解程序需要承担非常高的安全风险,请自行判断。另外有副作用:无法访问官网及所有在线支持文档。
码了两天终于完成了这篇详解,希望各位佬友可以点个赞