Ниже ring0 я лично не копал,

Maba писал(-а):
и еще, нельзя ли мне реальный пример сандбокса, который дает доступ к аппаратным ресурсам и вдобавок - выборочно?

Ниже ring0 я лично не копал, т.к. подзабросил низкоуровневое программирование железа эдак в начале 2000х, но вот для vm86 такой пример вполне себе реально существует - emm386, и патченная его версия успешно пользовалась для эмуляции PC3K карточки. Асины утилиты спокойно себе работали на несуществующем фиизчески устройстве с портами 100h-107h:)
Вот - хороший пример из вики по эмуляции несуществующих девайсов, но уже средствами SMM. Кстати, работающий.

Maba писал(-а):
кстати с сандбоксом у пользователя будет на 1 ядро меньше в системе, это конечно не слайдшоу, но заметить можно

С какой такой радости?:) Не путайте гипервизор с резидентным эмулятором железа.

Maba писал(-а):
упомянутые обработчики получают управление в результате аппаратного SMI-call от материнки - перегрев процессора, резкое изменение значений на счетчике оборотов вентилятора, запрос на переход в энергосберегающий режим по ACPI - во всех этих и подобных случаях будет наблюдаться кратковременный фриз системы, вдобаок на это отводится жесткий интервал времени - превышение его может вызвать крах операционки.

Упомянутые обработчики работают как раз по таймеру (во всяком случае - отвечающие за управление множителем/вентилляторами). И интервал времени им, насколько я знаю, не отводится, и оси глубоко все равно, сколько они выполняются - разве что отдельные куски кода типа хитрожелтых защит программ, пользующих RDTSC для определения наличия отладчика, могут капризничать.

Maba писал(-а):
а теперь представим себе с какой частотой придется дергать за програмное SMI (кстати оно отслеживается) той части вируса, которая будет жить в операционке, для полноценного функционирования и отслеживание обращений к дискам

С какой радости SMI будет программным? Полноценное аппаратное SMI при обращении к определенному диапазону портов...

Страшные и ужасные бирусы - избранное