技術領域

本發明涉及計算機安全技術領域，特別是涉及一種利用沙箱技術進行防御的方法、裝置及一種安全瀏覽器。

背景技術

在計算機安全領域，沙箱(也稱為沙盒)是一種程序的隔離運行機制，其目的是限制不可信進程的權限。沙箱技術經常被用于執行未經測試的或不可信的客戶程序。為了避免不可信程序可能破壞其它程序的運行，沙箱技術通過為不可信客戶程序提供虛擬化的磁盤、內存以及網絡資源，而這種虛擬化手段對客戶程序來說是透明的。由于沙箱里的資源被虛擬化（或被間接化），所以沙箱里的不可信程序的惡意行為往往會被限制在沙箱中，從而保護系統原有的狀態。

具體來說，沙箱技術可以將一個程序放入沙箱運行，這樣該程序所創建、修改、刪除的所有文件和注冊表都會被虛擬化重定向，也就是說所有操作都是虛擬的，真實的文件和注冊表不會被改動，這樣可以確保病毒無法對系統關鍵部位進行改動破壞系統。

目前沙箱技術提供了兩種類型的沙箱：一種是特定型沙箱，例如：Chrome（一種瀏覽器）利用沙箱技術將渲染引擎或Flash放在沙箱內運行，以保證瀏覽器的安全；還有一種是通用型沙箱，例如：Sandboxie（另一種瀏覽器）則提供給用戶一個沙箱，讓用戶自行選擇軟件程序放入沙箱內運行。

與特定型沙箱相比，上述由用戶選擇的通用型沙箱為用戶提供了更多的靈活性，極大地方便了用戶的使用。但是，這種讓用戶選擇的方式存在以下幾個問題：

第一，用戶必須自行判斷哪些是有風險的程序需要放在沙箱內運行，如果用戶不了解程序的特性，就可能選擇錯誤；

第二，錯誤地使用沙箱，如將正在編輯文件的編輯程序放置沙箱內，會導致文件丟失；

第三，用戶自行選擇的方式易用性不高，操作復雜，不符合用戶的操作習慣。

發明內容

本發明所要解決的技術問題是提供一種利用沙箱技術進行防御的方法、裝置及安全瀏覽器，以解決現有技術中由用戶自行選擇的沙箱技術所存在的問題。

為了解決上述問題，本發明公開了一種利用沙箱技術進行防御的方法，包括：

在對目標對象執行操作之前，觸發以下防御步驟：

對待操作的目標對象，自動判斷所述目標對象的執行是否需要導入沙箱，如果是，則在沙箱中完成該目標對象的執行；如果否，則在沙箱外完成該目標對象的執行。

其中，當自動判斷所述目標對象的執行需要導入沙箱時：

如果所述目標對象為目標程序，則將該目標程序導入沙箱，在沙箱中完成該目標程序的運行；

如果所述目標對象為目標文件，則將執行該目標文件的關聯程序導入沙箱，在沙箱中由所述關聯程序運行該目標文件；

如果所述目標對象為用戶輸入的信息，則將接收該用戶輸入信息的關聯程序導入沙箱，在沙箱中根據該用戶輸入信息運行所述關聯程序；所述用戶輸入的信息包括網址和/或關鍵詞。

其中，所述在對目標對象執行操作之前觸發防御步驟，包括：

如果所述目標對象為目標程序，則將所述目標程序下載到客戶端后在客戶端運行該目標程序之前觸發防御步驟；和/或，在下載所述目標程序之前觸發防御步驟；

如果所述目標對象為目標文件，則將所述目標文件或執行該目標文件的關聯程序下載到客戶端后在客戶端運行該目標文件之前觸發防御步驟；和/或，在下載所述目標文件或在線執行該目標文件的關聯程序之前觸發防御步驟；

如果所述目標對象為用戶輸入的信息，則在用戶輸入所述信息時觸發防御步驟。

優選的，所述自動判斷包括：判斷所述待操作的目標對象是否符合預置的匹配規則，如果符合，則所述待操作的目標對象的執行需要導入沙箱；如果不符合，則不需要導入沙箱。

優選的，判斷所述待操作的目標對象是否符合預置的匹配規則之前，還包括：創建用于自動判斷所述目標對象的執行的進程；判斷所述進程的父進程是否在沙箱內，如果是，則所述待操作的目標對象的執行需要導入沙箱；如果否，則繼續判斷所述待操作的目標對象是否符合預置的匹配規則。

優選的，判斷所述待操作的目標對象是否符合預置的匹配規則之前，還包括：判斷用戶是否選擇將所述待操作的目標對象的執行導入沙箱，如果是，則所述待操作的目標對象的執行需要導入沙箱；如果否，則繼續判斷所述待操作的目標對象是否符合預置的匹配規則。

優選的，判斷所述待操作的目標對象是否符合預置的匹配規則之前，還包括：判斷所述待操作的目標對象是否在白名單中，如果不在白名單中，則所述待操作的目標對象是未知對象，繼續判斷所述待操作的目標對象是否符合預置的匹配規則；如果在白名單中，則不需要導入沙箱。