Microsoft подготви внедряване на eBPF за Windows

Microsoft публикува реализация на подсистемата eBPF за Windows, която ви позволява да изпълнявате произволни манипулатори, които работят на ниво ядро ​​на операционната система. eBPF предоставя интерпретатор на байт код, вграден в ядрото, който ви позволява да създавате зареждащи се в потребителското пространство манипулатори на мрежови операции, контрол на достъпа и системи за наблюдение. eBPF е включен в ядрото на Linux от версия 3.18 и ви позволява да обработвате входящи/изходящи мрежови пакети, да препращате пакети, да контролирате честотната лента, да прихващате системни повиквания, да контролирате достъпа и да извършвате проследяване. Благодарение на използването на JIT компилация, байт кодът се превежда в машинни инструкции в движение и се изпълнява с изпълнението на компилиран код. Изходният код за eBPF за Windows е с отворен код под лиценза на MIT.

eBPF за Windows може да се използва със съществуващи eBPF инструменти и предоставя общ API, който се използва за Linux eBPF приложения. Наред с други неща, проектът позволява компилиране на код, написан на C, в eBPF байткод, използвайки обикновения базиран на Clang eBPF компилатор и изпълнявайки eBPF манипулатори, вече създадени за Linux върху ядрото на Windows, осигурявайки специален слой за съвместимост и поддържайки стандартния Libbpf API за съвместимост с приложения, които взаимодействат с eBPF програми. Това включва слоеве, които предоставят подобни на Linux кукички за XDP (eXpress Data Path) и свързване на сокет, абстрахиране на достъпа до мрежовия стек и мрежовите драйвери на Windows. От плановете се отбелязва предоставянето на пълна съвместимост на ниво изходен код с типичните манипулатори на Linux eBPF.

Ключовата разлика в внедряването на eBPF за Windows е използването на алтернативен верификатор на байт код, първоначално предложен от служители на VMware и изследователи от канадски и израелски университети. Верификаторът работи в отделен изолиран процес в потребителското пространство и се използва преди изпълнението на BPF програми, за да открие грешки и да блокира възможна злонамерена дейност.

eBPF за Windows използва метод за статичен анализ, базиран на абстрактна интерпретация за проверка, който в сравнение с верификатора eBPF за Linux има по-нисък процент фалшиви положителни резултати, поддържа цикличен анализ и осигурява добра скалируемост. Методът взема предвид много типични модели на изпълнение, получени от анализа на съществуващи eBPF програми.

След проверка байт кодът се предава на интерпретатор на ниво ядро ​​или се предава през JIT компилатор, последвано от изпълнение на получения машинен код с права на ядрото. За изолиране на манипулатори на eBPF на ниво ядро ​​се използва механизмът HVCI (HyperVisor-enforced Code Integrity), който използва инструменти за виртуализация за защита на процесите в ядрото и осигурява проверка на целостта на кода, който се изпълнява чрез цифров подпис. Ограничението на HVCI е възможността да се проверяват само интерпретирани eBPF програми и невъзможността да се използва заедно с JIT (осигурен е избор - или производителност, или допълнителна защита).

Източник: opennet.ru