什么是沙盒技术

　如果你经常关注网络安全领域，对“沙盒”技术应该不会陌生，在08与09年"卡巴斯基"和江民的新品发布会上，都宣布新产品应用到了“沙盒”技术。(注：2008年10月中旬，江民KV2009杀毒软件正式发布，主打新功能是“沙盒技术”。 2009年8月中旬，卡巴斯基全功能安全软件2010版发布，主打新功能是“沙盒技术”)。虽然同名，但“类似的名称，完全不同的技术”巴斯基亚太区董事总经理张立申如是说。

　　那究竟什么是“沙盒”技术呢？“沙盒”技术与主动防御技术原理截然不同。主动防御是发现程序有可疑行为时立即拦截并终止运行。“沙盒”技术则是发现可疑行为后让程序继续运行，当发现的确是病毒时才会终止。“沙盒”技术的实践运用流程是：让疑似病毒文件的可疑行为在虚拟的“沙盒”里充分表演，“沙盒”会记下它的每一个动作；当疑似病毒充分暴露了其病毒属性后，“沙盒”就会执行“回滚”机制：将病毒的痕迹和动作抹去，恢复系统到正常状态。

　　如果您还不懂，那说的再简单一些。想象一下，在一个装满了平整细沙的盒子里，我们可以尽情随意地在上面作画、涂写，无论画的好坏，最后轻轻一抹，沙盒又回到了原来的平整状态。沙盒的魅力就在于他允许你出错，还可以给你改正的机会。

　　 我真正关注“沙盒”技术是从avast开始的，avast专来版的一大亮点就是“沙盒”技术。在软件中叫作“avast! Sandbox”翻译过来中“沙盘”或“沙盒”。做为区别于主动防御与“高启发”的一项新技术提起了我极大的兴趣来研究它。本来以为自己发现的新大陆，最近我才发现原来“沙盒”在很多领域已经广泛应用了。

　　google很早就应用“沙盒”技术对网站价值进行定位，一个新的网站，短期内增加了大量与其他网站有重复雷同的内容页面，Google可能也会收录，但是放入沙盒后，排名很低，获得的流量有限。这个沙盒和杀软的沙盒虽然应用形式上不一样，不过原理是一样的。

　　沙盒技术另类应用  谷歌浏览器Chrome首先在浏览器中提出使用“沙盒”技术。著名的安全专家Dino Dai Zovi称，所有的浏览器开发商都应当借鉴Google Chrome的安全标准。 Dai Zovi认为沙盒技术是把用户从浏览器攻击洪流中拯救出来的方舟。尽管这项技术不能堪称完美，但这是我们应该努力的方向。漏洞补丁方法显然已经不适用。我们永远都无法赢得这种无休止的补丁竞赛。沙盒技术，至少能够浏览器影响操作系统的能力，增加了更多的深度防范，可以去阻止大多数的攻击。

　 目前沙盘主要有两大类，一是采用虚拟技术的传统沙盘，另一个就是采用策略限制的沙盘（策略限制沙盘更类似于HIPS，不创建虚拟环境，可对高危行为限制，并且可回滚。）

　　目前主流沙盘：

　　1、defensewal（策略限制型）

　　2、geswall（策略限制型）

　　3、bufferzone（虚拟型）

　　4、sandboxie（虚拟型）