Tengo un archivo exe en el que no confío (tal vez esté infectado con malware). Sé que ejecutarlo en una máquina virtual aislará el archivo exe de mi sistema, pero ¿qué pasa con el uso de mecanismos como la interposición de llamadas al sistema o el aislamiento de fallas de software?
¿Alguno de ellos es adecuado para el sandboxing del archivo exe? ¿Existen ventajas o desventajas entre ellos y el uso de la máquina virtual?
Esto puede depender de lo que estés tratando de hacer. Analice el binario para determinar si realmente es malware o simplemente ejecute el código sin permitir que afecte su sistema.
Creo que con SFI es posible que se encuentre con un problema en el que el malware sospechoso utiliza un código de operación no documentado y, por lo tanto, el SFI se niega a ejecutar el código porque no puede analizarlo.
Con la Interposición de llamadas del sistema, puede volver a escribir las llamadas del sistema operativo, pero a menos que use Interpositon para crear un contenedor completo, debe poder identificar qué llamadas del sistema son peligrosas antes de permitirles el acceso. Esto puede no ser obvio. Incluso el uso de Interposition para crear un contenedor puede fallar si el código explota un error sutil del kernel.
Creo que las máquinas virtuales presentarían una superficie de ataque más pequeña que los kernels del sistema operativo y dado que las CPU modernas proporcionan soporte de hardware que debería proteger incluso contra los códigos de operación no documentados.
En los días de Specter, Meltdown y Rowhammer, probablemente aún tengas que ser cauteloso.
Lea otras preguntas en las etiquetas virtualization isolation sandbox