Sandbox
- 沙盒 (Sandbox) 是一種隔離機制 (Isolation),可以透過各種 Security Policy 、虛擬化技術、軟硬體、容器等進行隔離
- 在 Linux 中對於 syscall 層級的 Policy,可以透過 seccomp bpf 等機制進行實踐。
- 達成 Privilege separation 的效果,進行降權 (Drop privileges)
對軟體進行隔離
- Chrome 在 Linux 中的 Renderer Process 透過兩層 sandbox ,當中攻擊面緩解層 (attack surface reduction) 對 syscall exec 等進行限制。
將 Sandbox 用於惡意程式分析的
在沙箱隔離的環境下進行惡意軟體分析,通常惡意程式分析還需要
- 能夠監控惡意程式碼的行為
- 能分析惡意程式的功能
線上沙箱
動態沙箱
- Cuckoo 開源的自動惡意程式分析系統
參考資料
Information Security Sandbox Isolation seccomp Privilege Separation