二、Sandboxie的原理解析 Sanboxie是一个沙盘类的安全软件,要了解Sandboxie,首先需要了解什么是沙盘。 在中国的民间传说中,南宋名将岳飞小时因为家贫无力购买纸笔,就常用簸箕装满细沙,以柳枝为笔在细沙上练字,字写满后只要轻轻一抹,沙子又变得平整如初…… 同样的,如果将一个程序放入沙盘中运行,它所创建、修改、删除的文件及注册表项都会被虚拟化重定向到一个虚拟的存储区域中,真实的文件和注册表不会被改动,这样可以确保病毒和恶意软件无法对系统关键部位进行破坏。而且,对于这个虚拟的存储区域中的数据,用户还可以自行决定是否保留,若是不再需要,立刻就可将这些数据抹去,回复最初的状态。 明白了什么是沙盘,我们再来了解Sandboxie的工作原理。 当我们正常运行一个软件时,软件会读取硬盘上的数据(数据由硬盘流向软件),并经过处理后再由软件写回到硬盘中。 图1 当我们在Sandboxie中运行一个软件时,它会把软件的写入操作重定向至由Sandboxie创建的虚拟区域(也就是沙盘中)。 图2 假设计算机系统是一张白纸,所有程序运行产生的数据都会写在纸上,而沙盘就像是一块放在纸上的玻璃,程序透过玻璃可以读取纸上的内容,但却只能把字迹写在玻璃上。这样的比喻,是不是更容易理解呢? 另外,Sandboxie可以创建多个沙盘,各个沙盘都是独立运作的空间,相互处于隔绝的状态,任意一个沙盘的开启和关闭,都不会影响其它沙盘。 图3 下面,我们通过一个简单的例子来向大家演示Sandboxie的妙用。 首先,我们在系统中创建一个文本文件,命名为“沙盘演示。txt”,并预先写入一些文字内容。 然后,通过Sandboxie来运行记事本程序,打开“沙盘演示。txt”文件,新加入一段文字并保存。(请注意,在沙盘环境中运行的程序,在标题栏中会加入两个“#”字符作为提示。) 图4 图5 离开沙盘环境,我们在系统中再次打开“沙盘演示。txt”文件,刚才新增的内容并不可见,仿佛我们从没改动它。 图6 但通过Sandboxie的查看功能,我们可以看到沙盘中已经存在了这个文档,打开之后也确实是刚才我们所修改过的。 图7