零碎有破绽，杀毒软件可以防；假如杀毒软件有破绽，谁来防呢？对此，谷歌平安团队屡次呼吁杀毒厂商为引擎参加沙箱维护。但是由于沙箱和杀毒软件本身功用、架构的抵触，这已成为网络平安行业共同面临的世界级难题。

2018年1月，中国平安厂商360发布重磅音讯，全球首家成功完成了杀毒扫描的沙箱维护——360杀毒和平安卫士的最新版本，为QEX平安引擎参加沙箱隔离防护机制。当用户下载文件停止平安检测时，QEX引擎对文件的扫描进程会在沙箱中执行，可以防止黑客应用杀毒软件破绽施行攻击。这是360在首创云查杀、云平安自动进攻、人工智能引擎等技术革新之后，再次抢先业界的尝试，也是360对平安创新的前瞻效果。

高风险：杀毒软件破绽能够招致查杀进程变为歹意攻击入口

作为计算机的守护者，杀毒软件可以肃清一切已知的要挟计算机平安的木马、病毒等无害顺序，但由于杀毒软件需求剖析一切零碎上的复杂文件，所以自身也成为很容易受攻击的攻击面。

在2015年的POC平安大会上，360 Vulcan Team初次披露了一种针对微软自带的杀毒软件Windows Defender扫描引擎的攻击方式，应用Windows Defender的平安破绽，攻击者可以打破Edge阅读器并攻破Win10零碎，这也是历史上初次地下的应用杀毒引擎破绽攻击，打破零碎权限限制的案例。

尔后的2017年，Google Project Zero也披露了多个Windows Defender扫描引擎的平安破绽，一旦杀毒软件的平安破绽被黑客掌握，只需用户下载文件并停止平安扫描，黑客就能经过这些破绽控制用户电脑。

杀毒软件作为平安守护者，具有比普通软件更高的零碎权限，下载扫描作为平安软件查杀歹意顺序的必要步骤，一旦这一流程被攻击，相当于直接给了攻击者翻开电脑中枢零碎的钥匙。

高难度：打破架构难题 ，360首家将扫描引擎放入沙箱

为了避免更多应用杀软本身成绩攻击零碎的要挟呈现，谷歌平安团队的研讨人员以为，杀毒软件该当学习计算机与阅读器等顺序，将扫描引擎放入沙箱。沙箱是一种限制顺序行为的虚拟执行环境，计算机与阅读器等顺序的操作都会在这个虚拟的顺序中运转，在其外部运转的顺序并不能对硬盘发生永世性的影响，可用以测试不受信任的使用顺序或上网行为。

但是将扫描引擎参加沙箱与本身功用、架构有所抵触，完成难度极高，此前从未有杀毒软件成功完成扫描引擎放入沙箱。

360首创的QEX平安引擎，可以基于文件格式解析、运用动态态特征婚配/动态态启示式检测算法，无效精确辨认脚本、文档等格式的歹意文件。QEX引擎的扫描进程放入沙箱，相当于把最容易被攻击的文件下载检测环节维护起来，既保证了零碎的波动性，又完成了对沙箱的无效运用，从而防止毒软件本身变为黑客攻击的源头。

360此次完成杀毒扫描引擎与沙箱机制的结合，处理了杀毒软件本身的平安成绩，降低了应用本身成绩攻击零碎的几率，创始了杀毒引擎参加平安维护机制的先例，完成了全球范围内的历史性打破。

。