想了解沙箱技术

关于API Hooking，例如Sandboxie通过钩取Windows内核来过滤所有对文件系统的api调用，并将其结果重定向到沙箱中，您可以钩取API并过滤它，仅传递有效参数，对无效调用返回错误。

有关API Hooking的资料在网络上很多，可以在codeproject.com上尝试。

Google的Chromium使用沙箱技术，并有多个相关文档：

• http://dev.chromium.org/developers/design-documents/sandbox
• http://code.google.com/p/chromium/wiki/LinuxSandboxing

你也可以看看FreeBSD中的jails。这些是类似于沙盒的东西。 jail的源代码是可用的（尽管你也需要理解其他FreeBSD代码）。

一个简单的沙盒环境仅仅是让“某些东西”执行，但限制它能够做什么。
通常，“某些东西”是已经存在的语言，比如Java、JavaScript、C#或本地代码。Java有用于小程序等的“沙箱”API，.NET有不同的“信任”级别，JavaScript由解释器（浏览器）放置边界。
因此，除非你也有想要沙箱化的语言，否则“编写”自己的沙箱会有点奇怪。
你有这样的语言吗？你想具体学习什么？

这非常取决于你想要隔离的内容。如果它是一个具有多个接口/可用语言的完整系统，你真的不想重复造轮子，而是在 VirtualBox、QEmu 或 其他一些替代方案 中运行虚拟机。
无论如何，沙盒至少在某种程度上是你“应该运行”的系统的虚拟化...
如果你需要对单个（解释型）语言的应用做隔离，修改解释器似乎是明智的方法。

答案可能会因编程语言而异。不幸的是，大多数编程语言都没有内置沙盒功能。但是，函数式语言往往足够强大，可以从头开始构建一个沙盒而无需扩展语言。
在Tcl中，基本机制是创建从解释器：

interp create -safe sandbox
interp eval sandbox $set_up_code
set result [interp eval sandbox $unsafe_code]

前几天我写了一篇Linux中沙盒化的方式概述，其中链接了许多不同技术的参考资料。类似的方法也适用于其他操作系统。希望这对你有所帮助 - 我也没有找到太多全面记录的资料。