计算机系统的各种硬件资源是有限的，在现代多任务操作系统上同时运行的多个进程都需要访问这些资源，为了更好的管理这些资源进程是不允许直接操作的，所有对这些资源的访问都必须有操作系统控制。也就是说操作系统是使用这些资源的唯一入口，而这个入口就是操作系统提供的系统调用（System Call）【简写syscall】。Linux 提供的系统调用种类十分丰富，不乏一些危险的调用，例如vm86，这是我觉得最危险的系统调用之一，当然也有一些十分普遍的调用，比如read，write。 沙箱需要保护系统的安全，所以需要沙箱能控 […]