Libseccomp: Q : intercepter les appels système du même processus

Il vaut probablement la peine de mentionner que tenter d'intercepter les appels système en tant que forme de sandboxing à partir du même espace d'adressage que le processus en sandbox sera sujet à l'échec. Une application malveillante pourrait trouver un moyen de détecter qu'elle est en sandbox et prendre des mesures contre le code de sandbox s'exécutant dans son espace d'adressage.

Une meilleure option serait d'utiliser un filtre d'appels système statique plus traditionnel comme le font un grand nombre d'outils de sandboxing ou de créer un processus de supervision pour surveiller et intercepter les appels système en utilisant les capacités de notification ajoutées à seccomp/libseccomp.

Je suis assez nouveau sur seccomp, la veille, je ne connaissais même pas son existence, si j'ai bien compris, l'ajout récent de notifications nous permet de gérer les appels système à partir du mode utilisateur.
Avez-vous un code que je peux utiliser comme référence pour cette tâche (notif seccomp. pour intercepter les appels système) ?

Vous pouvez toujours vérifier le test ci-dessous, c'est assez simple mais il devrait vous donner une idée de base sur la façon de l'utiliser :

• https://github.com/seccomp/libseccomp/blob/main/tests/58-live-tsync_notify.c

Je vais clore ce problème car je pense que la question a été résolue, mais si vous n'êtes pas d'accord, n'hésitez pas à rouvrir/commenter.