什么是 Sandbox

Sandbox即安全沙盒，它的主要作用是對軟件運行環境做隔離限制，通過嚴格控制執行的程序所訪問的資源來達到限制惡意行為的目的。安全沙盒有用于多用戶多進程隔離以確保安全運行的，也有用于惡意軟件行為識別的。對于主機層的沙盒，Sandboxie是微軟系統上的老牌安全沙盒，可以隔離運行不可信的軟件，防止系統感染病毒。微軟便使系統自帶了該沙盒，后來在內核層又實現了Hyper-V的虛擬化沙盒。

檢測程序是否在沙箱運行的辦法有以下這些：

• 檢測運行時間：在各類檢測沙箱中，檢測運行的時間往往是比較短的，因為其沒有過多資源可以供程序長時間運行，如果運行時間長則說明不存在沙箱；

• 檢測開機時間：許多沙箱檢測完畢后會重置系統，我們可以檢測開機時間來判斷是否為真實的運行狀況；

• 檢測物理內存：當今大多數pc具有4GB以上的RAM，我們可以檢測RAM是否大于4GB來判斷是否是真實的運行機器，否則則為沙箱；

• 檢測CPU核心數：大多數pc擁有4核心cpu，許多在線檢測的虛擬機沙盤是2核心，我們可以通過核心數來判斷是否為真實機器或檢測用的虛擬沙箱；

• 檢測臨時文件數：正常使用的系統，其中用戶的臨時文件夾中有一定數量的臨時文件，可以通過判斷臨時文件夾內的文件數量來檢測是否在沙箱中運行。

回答所涉及的環境：聯想（Lenovo）天逸510S、Windows 10。