Концепция песочницы в антивирусном программном обеспечении используется для проверки файлов, ссылок и скриптов на вредоносность в изолированной среде. 5

Принцип работы: подозрительное ПО запускается в специально подготовленной для него среде, изолированной от остальной инфраструктуры. 1 Известный и заведомо вредоносный код не попадает в песочницу, поскольку он блокируется на уровне межсетевого экрана или сигнатурного анализа. 1 Если у этих средств не набирается достаточного объёма данных для принятия решения, файл направляется в песочницу. 1

Некоторые функции песочниц в антивирусном ПО:

• Анализ поведения объекта. 4 Если объект выполняет вредоносные действия, песочница признаёт его вредоносной программой. 4
• Выявление эксплойтов. 4 Песочница обнаруживает типичное поведение эксплойтов, например использование цепочки возвратно-ориентированного программирования (ROP), подмену стека, изменение токенов безопасности и защиты памяти и другие. 4
• Проверка потенциальных угроз на различных операционных системах. 1 Сетевые песочницы не снижают производительность компьютера пользователя и позволяют проверять угрозы. 1

Примеры применения песочниц в антивирусном ПО:

• Comodo Internet Security. 2 Использует технологии Sandbox (песочница) для запуска подозрительных приложений. 2
• «Лаборатория Касперского». 4 Разработала собственную песочницу, которая используется для анализа вредоносных программ, исследований и создания антивирусных баз. 4
• SafenSoft SysWatch. 2 Применяет технологию D.S.E. (Dynamic Sandbox Execution), позволяющую запускать подозрительные приложения или открывать любые подозрительные файлы в ограниченной среде выполнения. 2