Как концепция 'песочницы' применяется в антивирусном программном обеспечении?

Концепция песочницы в антивирусном программном обеспечении используется для проверки файлов, ссылок и скриптов на вредоносность в изолированной среде. ptresearch.media

Принцип работы: подозрительное ПО запускается в специально подготовленной для него среде, изолированной от остальной инфраструктуры. habr.com Известный и заведомо вредоносный код не попадает в песочницу, поскольку он блокируется на уровне межсетевого экрана или сигнатурного анализа. habr.com Если у этих средств не набирается достаточного объёма данных для принятия решения, файл направляется в песочницу. habr.com

Некоторые функции песочниц в антивирусном ПО:

• Анализ поведения объекта. www.kaspersky.ru Если объект выполняет вредоносные действия, песочница признаёт его вредоносной программой. www.kaspersky.ru
• Выявление эксплойтов. www.kaspersky.ru Песочница обнаруживает типичное поведение эксплойтов, например использование цепочки возвратно-ориентированного программирования (ROP), подмену стека, изменение токенов безопасности и защиты памяти и другие. www.kaspersky.ru
• Проверка потенциальных угроз на различных операционных системах. habr.com Сетевые песочницы не снижают производительность компьютера пользователя и позволяют проверять угрозы. habr.com

Примеры применения песочниц в антивирусном ПО:

• Comodo Internet Security. ru.wikipedia.org Использует технологии Sandbox (песочница) для запуска подозрительных приложений. ru.wikipedia.org
• «Лаборатория Касперского». www.kaspersky.ru Разработала собственную песочницу, которая используется для анализа вредоносных программ, исследований и создания антивирусных баз. www.kaspersky.ru
• SafenSoft SysWatch. ru.wikipedia.org Применяет технологию D.S.E. (Dynamic Sandbox Execution), позволяющую запускать подозрительные приложения или открывать любые подозрительные файлы в ограниченной среде выполнения. ru.wikipedia.org