检测到论坛CSS可能没有正确加载，如出现排版混乱请刷新重试。

We detected that the CSS might not be loaded correctly. If the website displays abnormally, Please refresh and try again.

浅尝 Win32 App isolation

DaleZ

Win32 App isolation 是微软混合了一些已有技术后打造的一个更无缝的“沙盒”，与之前的技术不同，这个技术不需要在编程级别上进行适配，即使已经成型也可以 msix 化，同时更安全。由于是去年宣布而且还没正式发布，网上没什么体验和评估。但这让我心很痒，要知道如果效果很好的话，国内的一堆软件根本就不是事了。
以下折叠内容有误，请看下面帖子的内容。

所以我随手打包了一个 QQ（尽管还是公众预览，打包流程已经很方便了，教程也较为清楚）。
打包之后竟然正常工作，甚至还能登录，而且也不往 AppData 放东西（估计是重定向到虚拟文件夹了），但文档文件夹照写。
图：

但很奇怪的是，列表里面居然没有臭名昭著的Q盾，不知道是在 NT QQ 发布之后转移了还是别的什么，程序包里面也搜不到。

简直就像一个真正的 UWP/Win32 Msix 包，所有它们该有的选项这里都有，甚至也可以开始菜单右键卸载~~（这不是很正常）~~。
但安全性，我真的不能确定，毕竟我没有办法确定它有没有成功地拦截 QQ 偷饼干。有人可提供方法吗？
另外，Win32 App isolation 安装期间只要了一个 Windows App Runtime 1.4，不确定隔离功能是只需要那个还是额外需要操作系统原生加持，还是其它需要的包我在这之前已经安装了，本来可以看看AppxManifest的。

zhh135

DaleZ ~~Windows App Runtime 1.4是WASDK的，似乎是因为Msix包的生成依赖于`Microsoft.WindowsAppSDK.BuildTools~~

何木槿

心动了，早就看国产老流氓不顺眼了

DaleZ

SteveWorkshop 麻烦，没精力写了，看官方教程吧，少数派上也有一篇。
而且软件日后应该有能力判断在不在这个沙盒里面……

何木槿我记得打包工具你已经有了，就是那个 Msix 修改的工具。

没有人注意到我自己打包的 msix 在应用安装程序里面显示的图标的特别之处吗？
另外就是，这个功能似乎可以正常工作，刚想起来那个 isolated QQ 是求过我升级 NT QQ 的，然后我就将计就计点了同意（反正你真成功了我就系统还原），QQ 就兴高采烈地开了自己的一个新进程来下载安装程序。托盘里面显示的进度一直是0%，1分钟之后就自动安静退出了，估计是下载文件占位创建失败了✌
不过这是写方面的阻止能力，是否有能力阻止读取饼干仍然有待进一步考证。

SteveWorkshop

教程教程谢谢喵

SteveWorkshop

DaleZ 而且软件日后应该有能力判断在不在这个沙盒里面……

嗯，有道理，所以还得是虚拟机

[VTpwj][€ИЁĎĢШ !]

DaleZ 没有人注意到我自己打包的 msix 在应用安装程序里面显示的图标的特别之处吗？

为什么是卸载icon啊草（

何木槿

DaleZ 我现在把MSIX Packaging Tool和MSIX Hero一起使用，前面一个用来隔离Win32，后一个用来生成证书和二次打包

Baka632

DaleZ 软件日后应该有能力判断在不在这个沙盒里面

早就有了，这甚至是微软给出的示例。
请见：https://learn.microsoft.com/windows/win32/secauthz/appcontainer-for-legacy-applications-#example-code-to-test-for-running-in-an-app-container

DaleZ

[VTpwj][€ИЁĎĢШ !] 打包时还自动加了卸载程序的入口点，即使删了还是被打包工具加上了，并且以它的图标作为默认图标。当然后来我手动拆包删除了这个入口点，但图标懒得改……
就当是讽刺 QQ 给知情的人留下的印象吧（
何木槿哎呀，记混了😓

话又说回来似乎可以 isolate 一个命令提示符作为测试，这样就明了了。
~~如果谁要作死的话，我想看看打包后的 MEMZ（不是~~

Baka632 那这个方案对付国产软件失效分分钟的事😭
……等一下，这不是针对于 Win32 App isolation 的啊，万一改了呢（强撑场面）

何木槿

DaleZ memz没有安装程序，一旦运行的话……（MSIX Packing Tool在运行安装程序的时候自动为程序获取管理员权限）
BTW，那么我有些绿色软件也是没法打包了吗？

Baka632

此处内容有误。
~~DaleZ 你说得对，我试了一下，用微软给的方法，应用检测不到的。~~

Baka632

DaleZ 打包后的 MEMZ

尝试搞了一下（）

不过，我没有进行打包，而是在一个文件夹中手写 AppxManifest.xml，然后放可执行文件(((

注意！如果你要亲自尝试，请务必在虚拟机中进行实验，并注意安全

倒是能显示警告框，然后...

尝试运行 MEMZ，失败😂
大概是因为启用 Win32 App Isolation 的应用不能用管理员权限

DaleZ

何木槿我有个~~精妙绝伦的~~主意，在安装程序那里指定命令提示符或者解压缩软件，然后正常复制或者提取文件或许能打包进去

DaleZ

Baka632 谢谢您的测试！不过道高一尺魔高一丈，国产软件迟早可以检测到😔……
另外您可以再写点模拟国产软件的行为做测试吗？
以下折叠内容有误，请看下面帖子的内容。

我这边用命令提示符模拟效果不好。

具体怎么不好呢？是骡子是马拉出来遛遛！

D:\Users\DaleZ>cd appdata

D:\Users\DaleZ\AppData>echo hello>test.txt

D:\Users\DaleZ\AppData>dir
 驱动器 D 中的卷是 编程环境
 卷的序列号是 B2A7-C62B

 D:\Users\DaleZ\AppData 的目录

2024/02/08  16:14    <DIR>          .
2024/02/08  16:14    <DIR>          ..
2024/02/08  16:13    <DIR>          Local
2024/02/06  15:29    <DIR>          LocalLow
2024/02/08  16:13    <DIR>          Roaming
2024/02/08  16:14                 7 test.txt
               1 个文件              7 字节
               5 个目录 16,652,763,136 可用字节

D:\Users\DaleZ\AppData>del test.txt

看起来似乎毫无隔离作用，但是—―

D:\Users\DaleZ\AppData>test.txt

还是工作了的，在 AppData 文件夹中文件重定向正常工作。
懒得把我的测试一个个讲解了，直接看吧。但我要告诉你们，以下的命令全部都正常工作了。

D:\>dir
 驱动器 D 中的卷是 编程环境
 卷的序列号是 B2A7-C62B

 D:\ 的目录

2022/10/19  19:52           112,104 appverifUI.dll
2023/01/11  21:02    <DIR>          Classic-Shell
2024/02/08  16:06    <DIR>          console
2023/10/06  15:38    <DIR>          Flarum
2023/11/04  14:54    <DIR>          flarum-1.4.0
2024/01/22  09:28    <DIR>          icon
2024/02/08  16:04    <DIR>          Intel
2023/09/03  15:45    <DIR>          jsotp-master
2023/07/18  17:02    <DIR>          MySQL
2022/11/06  14:25    <DIR>          palemoon-source
2019/12/07  17:14    <DIR>          PerfLogs
2023/07/18  16:24    <DIR>          php
2024/02/08  16:13    <DIR>          Program Files
2024/02/06  14:44    <DIR>          Program Files (x86)
2023/04/29  15:40    <DIR>          Python
2023/01/22  22:01    <DIR>          Test
2022/08/23  09:30    <DIR>          TranslucentFlyouts
2022/06/12  12:46    <DIR>          Users
2022/07/28  15:17    <DIR>          VC-LTL
2022/10/19  19:52            66,176 vfcompat.dll
2024/02/06  14:49    <DIR>          Windows
               2 个文件        178,280 字节
              19 个目录 16,656,310,272 可用字节

D:\>cd users

D:\Users>dir
 驱动器 D 中的卷是 编程环境
 卷的序列号是 B2A7-C62B

 D:\Users 的目录

2022/06/12  12:46    <DIR>          .
2022/06/12  12:46    <DIR>          ..
2024/02/06  14:49    <DIR>          DaleZ
2022/06/12  12:27    <DIR>          Public
               0 个文件              0 字节
               4 个目录 16,656,310,272 可用字节

D:\Users\DaleZ\AppData>D:\console\cmd.exe
Microsoft Windows [版本 10.0.19044.1288]
(c) Microsoft Corporation。保留所有权利。

D:\Users\DaleZ\AppData>exit

D:\Users\DaleZ\AppData>ren D:\console\cmd.exe command.exe

D:\Users\DaleZ\AppData>cd %windir%\system32

D:\Windows\System32>cmd
Microsoft Windows [版本 10.0.19044.1288]
(c) Microsoft Corporation。保留所有权利。

D:\Windows\System32>exit

D:\Windows\System32>echo hello>D:\console\test.txt

D:\Windows\System32>

D:\Windows\System32>type "D:\Users\DaleZ\AppData\Local\Microsoft\Edge\User Data\Default\cookie.txt" //我在那个目录下面没有看到 cookie，所以就新建了一个测试文件来看看。
Test content, not real cookie.

结论：整个磁盘仍然对 isolated 命令提示符可见，而且有权调用外部程序，有权读文件和更改文件名，在非敏感文件夹里面甚至还能写文件（到底往哪些地方写文件才会重定向？）。
……那你沙盒隔离了个寂寞啊？软件用命令提示符和 Powershell 不就可以做不少事情了吗？？？
或者命令提示符可能使用了内部接口所以不拦截？（强撑场面x2）