Libseccomp: Q: interceptar syscalls do mesmo processo

Provavelmente, vale a pena mencionar que a tentativa de interceptar syscalls como uma forma de sandboxing de dentro do mesmo espaço de endereço que o processo em sandbox estará sujeito a falhas. Um aplicativo malicioso pode encontrar uma maneira de detectar que está sendo colocado em sandbox e tomar medidas contra o código de sandbox em execução em seu espaço de endereço.

Uma opção melhor seria ir com um filtro de syscall estático mais tradicional, feito por um grande número de ferramentas de sandbox ou criar um processo de supervisor para monitorar e interceptar syscalls usando os recursos de notificação adicionados a seccomp / libseccomp.

Eu sou muito novo no seccomp, um dia antes nem sabia da sua existência, se eu entendi corretamente a adição recente de notificações nos dá a capacidade de lidar com syscalls do modo do usuário.
Você tem um código que eu possa usar como referência para esta tarefa (seccomp notif. Para interceptar syscalls)?

Você pode sempre verificar o teste abaixo, é bastante simples, mas deve dar uma ideia básica sobre como usá-lo:

• https://github.com/seccomp/libseccomp/blob/main/tests/58-live-tsync_notify.c

Vou encerrar este problema porque acho que a questão foi resolvida, mas se você discordar, sinta-se à vontade para reabrir / comentar.