沙盒通常嚴格控制其中的程序所能訪問的資源,比如,沙盒可以提供用後即回收的磁盤及內存空間。在沙盒中,網絡訪問、對真實系統的訪問、對輸入設備的讀取通常被禁止或是嚴格限制。從這個角度來說,沙盒屬於虛擬化的壹種。
沙盒中的所有改動對操作系統不會造成任何損失。通常,這種技術被計算機技術人員廣泛用於測試可能帶毒的程序或是其他的惡意代碼。
體現
軟件監獄(Jail):限制網絡訪問、受限的文件系統名字空間。軟件監獄最常用於虛擬主機上。
基於規則的執行:通過系統安全機制,按照壹系列預設規則給用戶及程序分配壹定的訪問權限,完全控制程序的啟動、代碼註入及網絡訪問。也可控制程序對於文件、註冊表的訪問。在這樣的環境中,病毒木馬感染系統的幾率將會減小。Linux中,安全增強式Linux和AppArmor正使用了這種策略。
虛擬機:模擬壹個完整的宿主系統,可以如運行於真實硬件壹般運行虛擬的操作系統(客戶系統)。客戶系統只能通過模擬器訪問宿主的資源,因此可算作壹種沙盒。
主機本地沙盒:安全研究人員十分依賴沙盒技術來分析惡意軟件的行為。通過創建壹個模擬真實桌面的環境,研究人員就能夠觀察惡意軟件是如何感染壹臺主機的。若幹惡意軟件分析服務使用了沙盒技術。
在線判題系統:用於編程競賽中的程序測試。