一、原理：
    为程序构建一种隔离的、受限的、可配置的、可追溯的运行环境，限制不可信进程或代码的运行权限，防止对系统造成恶意破坏，追溯恶意程序行为。

二、实现方式：
    1、虚拟化
        为不可信的资源构建封闭的运行环境，根据虚拟化层次分为系统级沙箱和容器级沙箱。
    2、规则
        只允许访问指定的API（系统调用）。主要由访问控制引擎和监控器组成。监控器将监控到行为经过转换提交给规则引擎，规则引擎来判断是否允许程序对系统资源的访问。

三、主要产品
    Sandboxie：对沙箱里的程序进行非常细致的限制，包括文件/文件夹的读写、Com接口、hook、驱动、联网等。支持自动入沙、多沙箱。
    Bufferzone：支持自动入沙、单沙箱。
    Comodo D+：