サンドボックスソフトウェアは悪意のある.exeに対してどの程度の保護を提供しますか？

簡単な答えは、「サンドボックスに依存する」です。サンドボックスはバイナリ状態ではありません。プロセッサのスーパーバイザ（リング0）（または関連するハイパーバイザ/リング-1）で実行されていないすべてのコードは、少なくとも「サンドボックス化された」と表現できます。ユーザーモードの管理コードは少しサンドボックス化されたユーザーモードの非管理者コードであり、特に制限されたアクセス許可で実行されるユーザーモードコードは、「サンドボックス化」が最も頻繁に意味するものですが、さらに制限を厳しくすることができます。

多くのアプリはサンドボックスで配布されます（たとえば、WindowsからのものやAppleアプリストアは、必ずしもWebからダウンロードされたアプリよりもサンドボックス化されていますが、必ずしもveryとは限りません） =厳重にサンドボックス化されます。ただし、任意のコードを実行できるようにしたい場合、それは明らかに機能しません。理論的には、プロセスに必要な機能に基づいて、ゲームをアプリスタイルのサンドボックスにパッケージ化できます-非常に書き込みアクセスが少ない、読み取りアクセスがいくらかある、特定のネットワーク権限などがある可能性があります。ただし、これは面倒であり、合法的に必要なものへのアクセスを許可しなかったためにゲームが機能しなくなるリスクがあります。また、アプリのサンドボックスは最も細かい設定（ほとんどは、すべてのネットワークトラフィック、ネットワーククライアントトラフィックのみ、またはネットワークトラフィックを許可しません。たとえば、特定のポートまたは何かをブロックする場合は、別のサンドボックスシステムを使用するか、単にファイアウォールを設定します）。

あなたの最善の策は、おそらくかなり厳密なコンテナ、VM、または使い捨てシステムです。 VMは非常に安全ですが（少なくとも、「統合」機能をオンにしない場合）、データを取り出したり、多くのゲームを実行したりすることが難しくなります（ハードウェアへのアクセスが制限されます）。ハードウェアの問題は、何も気にしないコンピュータ（使い捨てのセットアップ）を使用して修正できますが、テスト間で「リセット」するのが面倒です（VMは単純にロールバックできます）。コンテナー（サポートされているプラ​​ットフォーム上）は、本質的に安全ではありませんが、非常に厳密にすることができます（サンドボックス化されていないプロセスと同じカーネルと通信するため、サンドボックスエスケープにローカルEoP脆弱性を使用できます）。

以上のことから、理論的には適切に設計されたサンドボックスは、悪意のあるプログラムが実行する可能性があることから適切に保護します。しかし、「適切に設計された」というのはそこでたくさんの仕事をしている。サンドボックスを見つけた誰かが専門的にも趣味としても脱出するので、彼らは正しく理解するのが本当に難しいです。また、ほとんどのサンドボックスは、本当に斬新な攻撃に対して少なくともいくらか苦労するでしょう。 MeltdownとSpectreがそれほど重要だった理由の大部分は、lotのサンドボックス（VM、低特権プロセス、JavaScriptサンドボックスなど）を壊したためです。

また、セキュリティと機能をトレードオフするための微妙なバランスを取ることもできます。サンドボックスは、プロセスがアクセスできるコンピューティングリソース（CPU時間、RAMなど）を制限して、コンピューターのすべてのリソースを消費し、マシン上の他のすべてのプロセスを効果的に攻撃しないようにしますが、これは明らかに適切なテストと互換性がありませんマシンが持つすべてのものを本当に要求し、計算リソースを共有する必要がある場合はパフォーマンスが低下するゲーム。