常见问题解答
概述
技术相关
- 沙盘在技术层面如何保护我?
- 沙盘能保护我免受恶意键盘记录器的侵害吗?
- 一些竞争产品需要重启才能进行沙箱化,为什么?
- 为什么会收到来自沙盘驱动的某些消息?
- 为什么有那么多文件被复制到沙箱中?
- 什么是 SandboxieRpcSs 和 SandboxieDcomLaunch?
- 如何用沙盘保护我免受邮件中的病毒威胁?
- 如何将沙盘配置为仅偶尔使用?
问题排查
- 如何让快速恢复显示我保存的收藏夹和下载内容?
- 如果我把下载的文件、文档或邮件保存在沙箱内,如何取出?
- 为什么沙箱运行默认 Web 浏览器时启动了错误的程序?
- 为什么 Sysinternals Process Monitor 无法在沙箱内运行?
- 如果你发现某个程序在沙箱内无法正常运行,请在已知冲突页面查找,或者在问题报告页面提交。
返回 帮助主题
什么是沙盘?它与其他解决方案有何不同?
可以把你的电脑想象成一张纸。你运行的每个程序都会在纸上写字。当你运行浏览器时,它会在纸上记录你访问过的网站,任何你接触到的恶意软件通常也会试图在纸上写入自身。
传统的隐私和反恶意软件解决方案会努力在纸上找出并清除你可能不希望存在的信息。大多数时候,这些软件都能准确地完成这一任务。但前提是这些解决方案的开发者必须教会软件如何识别要清除的内容,以及如何安全地清除。
而沙盘的工作方式则不同。它像在纸上盖了一层透明胶片。所有程序都只能在这层胶片上写字,并且对它们来说,看起来就跟在真正的纸上一样。而当你删除沙箱时,相当于把胶片移走,完好无损的真实“纸张”就会重新显现出来。
感谢 esalkin 提供的纸张比喻,感谢 warwagon 提供的图示。
返回 目录
使用沙盘有多安全?
使用沙盘,你会相当安全。需要注意的是,偶尔仍有人能发现沙盘存在漏洞,这样恶意软件就有可能通过这个“漏洞”渗透系统。
但这种情况十分罕见,并且攻击途径一旦被发现,漏洞很快便会被修复。
因此,搭配传统的反恶意软件软件是个好主意。下一个问题将进一步探讨这一话题。
返回 目录
如果使用沙盘,还需要其他安全解决方案吗?
沙盘或许可以作为你的第一道防线,但你仍应配合使用传统的杀毒和反恶意软件解决方案。这些方案能够在你的系统被感染时及时通知你。
通常,这些其他解决方案通过各种模式匹配技术发现恶意软件与其它威胁。而沙盘则完全不信任任何软件代码,绝不让它们脱离沙箱。
两种方法结合,可以最大限度地保护你的电脑不被恶意软件(为他人利益而服务的代码)入侵。
返回 目录
可以用沙盘运行哪些程序?
你几乎可以让大多数应用程序在沙箱内运行。
- 各大主流 Web 浏览器
- 邮件与新闻阅读器
- 即时通讯与聊天客户端
- 点对点网络软件
- 办公软件(MS Office、LibreOffice、OpenOffice 等)
- 大多数游戏
- 尤其是那些会下载插件或扩展代码的网络游戏
上述所有类型的软件,都有一个共同点:客户端程序都容易被远程软件代码利用,成为攻击系统的通道。将这些程序放在沙箱中运行,你就能极大地控制这一通道。
此外,你甚至可以将某些程序_安装_进沙箱。
返回 目录
运行沙盘有哪些技术要求?
沙盘可运行于以下操作系统:
- Windows XP SP3(直到 Sandboxie 5.22,并于 v5.40 单独支持)
- Windows Vista SP2(直到 Sandboxie 5.22)
- Windows 7 32/64 位
- Windows 8.1 32/64 位
- Windows 10 32/64 位(不支持现代应用)
- Windows 11 64 位(不支持现代应用)
详见 下载页面。
支持的 Web 浏览器(支持 32 位与 64 位):
- Internet Explorer 8、9、10 和 11
- Microsoft Edge(Chromium 版)
- Google Chrome
- Firefox
- Opera
- PaleMoon
- SeaMonkey
- Vivaldi
- Waterfox
- Brave 浏览器
- 以及许多其它浏览器!
沙盘不支持以下环境:
- Windows XP x64 位
- Windows 95、98 或 ME
- Mac 或 Linux 操作系统
沙盘不建议安装在 Microsoft Server 操作系统上,因为官方并不直接支持。但许多用户已经成功部署。
你可以在虚拟机环境(VMWare、VirtualBox、Apple BootCamp 等)下运行沙盘。
沙盘对硬件没有特殊要求。然而,官方未在触摸屏设备上进行测试(但很多用户在 Surface Pro 及类似设备上成功安装)。
沙盘仅需很少的内存资源,对系统性能影响极小。
返回 目录
沙盘在技术层面如何保护我?
沙盘通过与操作系统(OS)集成,将沙箱功能融入操作系统。应用程序无法直接访问硬件(如磁盘存储),它们只能通过操作系统请求访问。沙盘正是通过与操作系统集成,才能安全无虞地实现隔离。
沙盘监管以下类型的系统对象:文件、磁盘设备、注册表键、进程与线程对象、驱动对象、以及用于进程间通信的对象:命名管道、邮箱对象、事件、互斥量(NT 术语中称为 Mutants)、信号量、区段与 LPC 端口。更多信息请参见 沙箱层级结构。
沙盘还采取措施防止沙箱内运行的程序劫持非沙箱程序,进而绕过沙箱。因此,沙盘不允许沙箱进程读取非沙箱进程的内存,并提供隐藏选定主机进程的功能。详见 #59 以及 0.3 / 5.42 更新说明。
沙盘也阻止沙箱内的程序直接加载驱动程序,并阻止它们请求中央系统组件(即服务控制管理器)代为加载驱动。这样可以防止驱动,尤其是 rootkit,被沙箱程序安装。
需要注意,沙盘在默认配置下,并不会阻止沙箱进程通过自身权限外泄用户数据,因为默认的文件和注册表访问策略是允许读取,除非用户明确将某路径设置为关闭。但是,通过合理配置 ClosedFilePath 与 ClosedKeyPath,也能实现数据隔离。
如果你对未来的发展感兴趣,请参见 新型增强隐私的文件/注册表访问方案,白名单/模板模式,计划与讨论。
返回 目录
沙盘能保护我免受恶意键盘记录器的侵害吗?
在一定程度上可以。首先,你的系统(即沙箱外部)必须没有被已安装的键盘记录器感染。沙盘无法防御已经在系统中运行、并存在于沙箱外的键盘记录器。
建议你始终在沙箱内进行浏览,这样可以尽量避免误装键盘记录器。
要可靠地检测键盘记录器其实非常困难。详见 检测键盘记录器 的详细说明。因此,沙盘为你提供抵御键盘记录器的最重要工具就是删除沙箱。
当你停止所有沙箱活动(包括所有沙箱),随后删除你要使用的沙箱,就可以相当确定所有键盘记录器都已被清除。
返回 目录
一些竞争产品需要重启才能进行沙箱化,为什么?
对计算环境的更改若要永久保存,最终都要写入磁盘。这不仅适用于文件,也包括保存在注册表中的设置和偏好。
有些竞争产品在每次使用前都要求重启,是因为它们将整个磁盘存储进行沙箱化,为操作系统和所有内容提供了一个虚拟磁盘,用来捕捉这些永久更改。
由于操作系统并不支持同时对不同任务使用不同磁盘,因此必须通过重启在真实磁盘和虚拟磁盘之间切换。
沙盘不需要重启,因为它对文件访问进行沙箱化,而不是对整个磁盘进行沙箱化。同时也会沙箱注册表访问,以及许多其它系统组件,从而让沙箱程序误以为自己并没有被隔离。
这类底层沙箱方式使某些竞争产品可以在沙箱内安装范围更广的软件和工具——包括系统驱动。沙盘也能在沙箱中安装大多数应用程序,但不支持安装系统软件或驱动。
由此可见,每种工具各有优缺点,应根据实际需求选择最合适的工具。
返回 目录
为什么会收到来自沙盘驱动的某些消息?
并非所有消息都是错误提示,有些只是告知你相关事件的发生。详见 SBIE 消息 和 将消息记录到文件。
返回 目录
为什么有那么多文件被复制到沙箱中?
当程序访问文件时,会声明对该文件要执行的操作:读取、写入、修改属性等。只要某个程序声明要对文件进行任何写操作,沙盘就会把该文件复制到沙箱。有些情况下,程序虽然声明要写入实际并不会,但沙盘仍需将文件复制进沙箱。
返回 目录
什么是 SandboxieRpcSs 和 SandboxieDcomLaunch?
详见 服务程序。
返回 目录
如何用沙盘保护我免受邮件中的病毒威胁?
请参见完整文章:邮件防护。
返回 目录
如何将沙盘配置为仅偶尔使用?
默认情况下,沙盘配置为自动加载和启动。如希望仅在需要时加载沙盘,请按照以下步骤操作:
- 在 沙盘控制中,打开 配置 -> 外壳集成 窗口,取消勾选 随 Windows 启动,以阻止沙盘控制自动启动。
- 在 Sandboxie Plus 中,详见 Sandboxie-Plus 迁移指南。
- 打开 Windows 服务配置窗口:开始菜单 -> 控制面板 -> 管理工具 -> 服务。找到 Sandboxie 服务,双击打开属性窗口,将 启动类型 由自动改为手动。
- 沙盘的驱动组件由 Sandboxie 服务启动,因此将服务设为手动启动,也将驱动间接设为手动启动。
启动沙盘控制时,会同时启动服务。(请注意,启动服务需要管理员权限。)
返回 目录
如何让快速恢复显示我保存的收藏夹和下载内容?
你可能在快速恢复中看不到所有文件夹,因为初始安装时只默认配置了少数文件夹。详见 快速恢复。
返回 目录
如果我把下载的文件、文档或邮件保存在沙箱内,如何取出?
如果你已阅读什么是沙盘,就会知道沙盘就像是一层覆盖在纸上的透明胶片(纸就是你的电脑)。通过沙箱程序保存的所有文件(下载、文档、邮件或其它内容),都进了这层胶片,也就是沙箱中。
你可以使用快速恢复功能将这些文件取出。默认情况下,快速恢复会查找 文档、收藏夹、桌面 和 下载 文件夹。如果你将文件保存到其中任何一个文件夹,就可以通过快速恢复轻松取出。
另一种方式是将一个或多个文件夹配置为 OpenFilePath。保存到这些文件夹的文件会绕过沙盘机制,直接写入真实文件夹。虽然配置起来更复杂,但特定场景下很有用。
返回 目录
为什么沙箱运行默认 Web 浏览器时启动了错误的程序?
有些用户会遇到此问题。
Windows 7:打开控制面板(图标视图),选择“默认程序” > “设置你的默认程序”。然后选择希望设为默认的浏览器。
Windows 8/8.1:将鼠标移至右下角或右上角(不要点击),点击设置图标。在右下角点击“更改电脑设置” > “搜索和应用” > “默认值”,然后选择想设为默认的浏览器。
Windows 10/11:确保已正确为 Windows 设置默认 Web 浏览器(点击开始菜单,输入“默认应用”,然后选择默认应用设置)。
返回 目录
为什么 Sysinternals Process Monitor 无法在沙箱内运行?
虽然 Process Monitor 无法在沙箱内运行,但它可以监控沙箱中的活动。
返回 目录