沙箱,sandbox

沙箱是一种按照安全策略限制程序行为的执行环境。早期主要用于测试可疑软件等，比如黑客们为了试用某种病毒或者不安全产品，往往可以将它们在沙箱环境中运行。
经典的沙箱系统的实现途径一般是通过拦截系统调用，监视程序行为，然后依据用户定义的策略来控制和限制程序对计算机资源的使用，比如改写注册表，读写磁盘等。
下图说明了沙箱的大概作用和原理：写磁盘操作被屏蔽。

原有磁盘访问方式

沙箱磁盘访问方式（保护方式）

近年来，随着网络安全问题的日益突出，人们更多的将沙箱技术应用于网上冲浪方面。从技术实现角度而言，就是从原有的阻止疑程序对系统访问，转变成将可疑程序对磁盘、注册表等的访问重定向到指定文件夹下，从而消除对系统的危害。

例如，在上网冲浪方面，致力于提供安全浏览器的知名产品包括较早的GreenBorder，近期的有ForceField，360安全浏览器等。

GreenBorder为IE和firefox构建了一个安全的虚拟执行环境。用户通过浏览器所作的任何写磁盘操作，都将重定向到一个特定的临时文件夹中。这样，即使网页中包含病毒，木马，广告等恶意程序，被强行安装后，也只是安装到了临时文件夹中，不会对用户pc造成危害。GreenBorder 公司成立于2001年，2007年5月被Google收购，收购价格和目的，Google都没有披露。目前其网址不可访问，所以没有相关测试报告。关于该产品的情况可以到维基百科上了解。

与GreenBorder功能相似的ForceField是近期推出的，目前还是Beta版。它是由知名的网络防火墙公司ZoneAlarm开发的。主要支持Windows xp以及vista，其Beta版可以下载。下图是安装后试用的图片。从外观上看firefox和原有的基本没有差别。

在测试过程中，使用了某病毒网站测试，以前访问该网站时，可能存在类似“机器狗”的病毒，通过修改机器时间的方式使卡巴斯基失效，然后马上下载偷盗游戏帐号和密码的木马。使用ForceField后，它报告该网站可疑，且阻挡了某可以攻击，卡巴斯基没有异常。只是其后，在每次运行程序的时候，卡巴斯基都会报告类似“已检测: 风险软件 Invader 运行进程: D:\downloads\jpskb\极品时刻表\JPSKB.exe”的警报，可能是ForceField的原因。