VM与系统调用接口与软件故障隔离

Question

我有一个我不信任的exe文件(可能是被恶意软件感染的)。我知道在VM中运行它会将exe文件与我的系统隔离开来，但是使用诸如系统调用干预或软件故障隔离之类的机制会怎么样呢？

它们中的任何一个适合对exe文件进行沙箱处理吗？在使用VM时，它们之间有什么优缺点吗？

Answer 1

这可能取决于你想要做什么。分析二进制文件，以确定它是否真的是恶意软件，或者只是运行代码而不让它影响您的系统。

我认为，使用SFI，您可能会遇到一个问题，怀疑恶意软件使用一个无文件的操作码，因此SFI拒绝运行代码，因为它不能分析它。

使用系统调用接口，您可以重写操作系统调用，但是除非您使用interpositon创建一个完整的容器，否则在允许它们通过之前，您需要能够识别哪些系统调用是危险的。这可能并不明显。即使使用Interposition来创建容器，如果代码利用了一个微妙的内核错误，也可能会失败。

我认为VM将呈现比OS内核更小的攻击面，而且由于现代cpus提供硬件支持，即使是针对无文档的操作码，也应该提供保护。

在幽灵，熔毁和Rowhammer的日子里，你可能仍然需要警惕。