Ciò può dipendere da ciò che stai cercando di fare. Analizza il binario per determinare se si tratta veramente di malware o semplicemente esegui il codice senza lasciare che questo influenzi il tuo sistema.
Penso che con SFI potresti incontrare un problema in cui il sospetto malware utilizza un codice operativo non documentato e l'SFI rifiuta quindi di eseguire il codice in quanto non può analizzarlo.
Con Interposizione chiamata di sistema è possibile riscrivere le chiamate del sistema operativo ma, a meno che non si usi l'interposizione per creare un contenitore completo, è necessario essere in grado di identificare quali chiamate di sistema sono pericolose prima di consentirne l'accesso. Questo potrebbe non essere ovvio. Anche l'uso di Interposizione per creare un contenitore potrebbe fallire se il codice sfrutta un bug del kernel sottile.
Penso che le macchine virtuali presenterebbero una superficie di attacco più piccola rispetto ai kernel OS e dal momento che i cpus moderni forniscono il supporto hardware dovrebbero proteggere anche contro gli opcode non documentati.
Nei giorni di Spectre, Meltdown e Rowhammer probabilmente devi comunque essere cauto.