Petr Tesarik 在邮件写道:
根据文档的描述,沙盒模式的主要目标是通过分解内核来减少内核代码中潜在内存安全错误的影响。SBM API 支持在隔离的执行环境中运行每个组件,特别是用作输入的内存区域和 / 或输出与内核的其余部分隔离,并被保护页包围。
在实现必要的 arch hook 的架构上,沙盒模式利用硬件分页设施和 CPU 特权级别来强制仅使用这些预定义的内存区域。
有了 arch 的支持,SBM 还可以从 protection violation 进行恢复。这意味着 SBM 可强制终止沙盒,并向调用者返回错误代码(例如 -EFAULT),以便执行可以继续。这种实现提供了强隔离机制。
https://lore.kernel.org/lkml/20240214113035.2117-1-petrtesarik@huaweicloud.com/
---END---
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...