如何在C#中为外部进程创建沙盒？

如果您只想运行托管代码，使用带有受限权限集的AppDomain创建沙盒环境相对容易：

        PermissionSet ps = new PermissionSet(PermissionState.None);
        // ps.AddPermission(new System.Security.Permissions.*); // Add Whatever Permissions you want to grant here

        AppDomainSetup setup = new AppDomainSetup();
        Evidence ev = new Evidence();

        AppDomain sandbox = AppDomain.CreateDomain("Sandbox",
            ev,
            setup,
            ps);

        sandbox.ExecuteAssembly("ManagedAssembly.exe");

但是，一旦你打开了不受管理/不安全的代码，所有的赌注都取消了，保护第三方代码变得非常困难。正如已经提到的，你基本上必须在执行代码和操作系统之间创建一个壳来限制它能做什么，除非将其作为受限用户运行并依靠ACL/UAC保护自己足够。请注意：该代码示例不是一个工作示例，只是代码看起来的一个想法。可能需要对证据和AppDomainSetup进行调整，并且考虑到安全性问题，你应该进行充分的研究/测试。这里有一篇关于这个主题的好文章：http://msdn.microsoft.com/en-us/magazine/cc163701.aspx。

使用 Sandboxie 作为我认为您想要实现的部分内容的示例。在我看来，您将无法仅使用纯托管代码完成此操作。
如果您想限制应用程序的操作和影响，而不管它是托管、本机还是Java应用程序，则意味着您需要监视应用程序执行的每个操作，并采取适当的措施以确保它不会影响您的系统。适当的措施可能意味着将应用程序写入重定向到磁盘上的其他位置，编写虚拟化注册表以使真实注册表不受影响等等。所有这些都需要大量低级别的工作，而托管代码今天并不提供。
请注意，我说的是纯托管代码，您当然可以使用Interop Services等来利用某些代码领域的非托管实现，或者您可以使用托管C ++。但是，根据您想要沙箱执行的确切细节，您可能需要实现内核模式驱动程序，以确保您可以足够虚拟化沙箱用户模式应用程序的环境。