沙盤Sandboxie原理分析.docVIP

沙盘的原理 1.Sandboxie 　　Sandboxie允许用户在沙盘环境中运行浏览器或其他程序，因此运行所产生的变化可以随后删除。可用来消除上网、运行程序的痕迹，也可用来还原收藏夹、主页、注册表等。即使在沙盘进程中下载的文件，也会随着沙盘的清空而删除。 当我们正常运行一个软件时，软件会读取硬盘上的数据（数据由硬盘流向软件），并经过处理后再由软件写回到硬盘中。 图1 　　当我们在Sandboxie中运行一个软件时，它会把软件的写入操作重定向至由Sandboxie创建的虚拟区域（也就是沙盘中）。 图2 假设计算机系统是一张白纸，所有程序运行产生的数据都会写在纸上，而沙盘就像是一块放在纸上的玻璃，程序透过玻璃可以读取纸上的内容，但却只能把字迹写在玻璃上。另外，Sandboxie可以创建多个沙盘，各个沙盘都是独立运作的空间，相互处于隔绝的状态，任意一个沙盘的开启和关闭，都不会影响其它沙盘。 inline hook挂钩常用系统函数（比如文件读写、注册表操作），把这些文件的读写都转换到另一个目录里，经过精细的处理，可以不影响普通程序的正常使用。任何程序运行都会调用资源,不管是自己内部的还是外部的DLL,在实际运用中都要通过地址进行数据通话sandboxie可以跟踪这些数据PID(进程标识),然后根据进程标识虚拟出一个环境,让进程在这个环境里运行(通过底层驱动模拟环境),可以理解为虚拟机,并且禁止危险操作(比如格式化,删除),其操作环境在默认系统盘下的Sandbox目录下,注册表文件也模拟在这个文件夹下. 图1 ： Sandboxie design 3.Sandboxie的典型应用1.保护系统安全 　　将可能具有危险性的软件在沙盘中运行，能够有效阻止该软件对系统的侵入。设想一下，如果我们在沙盘中运行的是一个带有病毒的软件，那么这个病毒只能困守于沙盘中，无法感染也无法破坏系统中的数据，它的危害也就消弭于无形了。 　　使用Sandboxie，我们可以随心所欲的测试各种软件，而不用担心它对系统造成破坏。 2.隐私保护与垃圾清理 　　将某些会记录用户操作信息的软件放在沙盘中运行，运行完成之后可以自动清除掉相关信息（如浏览器的上网记录），从而有效的保护了用户的隐私。 图　　同样的方法，也可以清除掉程序运行时产生的垃圾文件。比如各种浏览器所留下的网页临时文件。 3.软件多开 　　有很多软件（特别是游戏类软件）不允许用户同时运行多个实例，但在Sandboxie中可以通过建立多个沙盘来突破这个限制。因为每一个沙盘都是一个独立的虚拟区域，在不同的沙盘中运行的同一个软件都只能检测到自身的存在而误以为只有一个实例在运行。 　　以QQ游戏大厅为例，为了防止作弊，它是不允许在同一个计算机上同时开启多个客户端的。但我们在Sandboxie中建立了两个沙盘，并分别在两个沙盘中运行QQ游戏大厅，非常简单地就实现了“双开”。 图图只要计算机的性能足够强劲，我们在理论上甚至可以无限制地开启任意多个QQ游戏大厅。在Sandboxie中运行的软件能够通过虚拟区域读取系统中的数据，但反过来系统的软件不能读取沙盘中的数据