Ho un file exe di cui non mi fido (forse è stato infettato da malware). So che eseguirlo in una VM isolerà il file exe dal mio sistema, ma per quanto riguarda l'utilizzo di meccanismi come l'interferenza di chiamata di sistema o l'isolamento di errore software?
Qualcuno di questi è adatto per sandboxing il file exe? Ci sono vantaggi o svantaggi tra loro e l'utilizzo della VM?
Ciò può dipendere da ciò che stai cercando di fare. Analizza il binario per determinare se si tratta veramente di malware o semplicemente esegui il codice senza lasciare che questo influenzi il tuo sistema.
Penso che con SFI potresti incontrare un problema in cui il sospetto malware utilizza un codice operativo non documentato e l'SFI rifiuta quindi di eseguire il codice in quanto non può analizzarlo.
Con Interposizione chiamata di sistema è possibile riscrivere le chiamate del sistema operativo ma, a meno che non si usi l'interposizione per creare un contenitore completo, è necessario essere in grado di identificare quali chiamate di sistema sono pericolose prima di consentirne l'accesso. Questo potrebbe non essere ovvio. Anche l'uso di Interposizione per creare un contenitore potrebbe fallire se il codice sfrutta un bug del kernel sottile.
Penso che le macchine virtuali presenterebbero una superficie di attacco più piccola rispetto ai kernel OS e dal momento che i cpus moderni forniscono il supporto hardware dovrebbero proteggere anche contro gli opcode non documentati.
Nei giorni di Spectre, Meltdown e Rowhammer probabilmente devi comunque essere cauto.
Leggi altre domande sui tag virtualization sandbox isolation