Microsoft te pibliye yon aplikasyon sou-sistèm eBPF pou Windows, ki pèmèt ou lanse moun kap okipe abitrè kouri nan nivo nwayo sistèm operasyon an. eBPF bay yon entèprèt bytecode ki entegre nan nwayo a, ki fè li posib pou kreye reskonsab operasyon rezo chaje nan espas itilizatè, kontwole aksè ak kontwole operasyon sistèm yo. eBPF te enkli nan nwayo Linux la depi lage 3.18 epi li pèmèt ou jere pake rezo k ap rantre/sòtan, voye pake, jesyon Pleasant, entèsepsyon apèl sistèm, kontwòl aksè ak trase. Mèsi a itilizasyon konpilasyon JIT, bytecode tradui sou vole nan enstriksyon machin epi egzekite ak pèfòmans kòd konpile. eBPF pou Windows se sous louvri anba lisans MIT.
eBPF pou Windows ka itilize ak zouti eBPF ki deja egziste epi li bay yon API jenerik ki itilize pou aplikasyon eBPF sou Linux. Pami lòt bagay, pwojè a pèmèt ou konpile kòd ki ekri an C nan eBPF bytecode lè l sèvi avèk estanda Clang ki baze sou eBPF du epi kouri eBPF okipe deja kreye pou Linux sou tèt nwayo Windows la, bay yon kouch konpatibilite espesyal ak sipòte Libbpf estanda a. API pou konpatibilite ak aplikasyon ki kominike avèk pwogram eBPF. Sa a gen ladan kouch ki bay kwòk ki tankou Linux pou XDP (eXpress Data Path) ak mare priz, abstrè aksè nan pil rezo a ak chofè rezo Windows yo. Plan yo genyen ladan yo bay tout nivo kòd sous konpatibilite ak processeurs estanda Linux eBPF.
Diferans kle ant aplikasyon eBPF pou Windows se itilizasyon yon verifikatè bytecode altènatif, anplwaye VMware ak chèchè nan inivèsite Kanadyen ak Izrayelyen yo te pwopoze okòmansman. Verifikatè a kouri nan yon pwosesis separe, izole nan espas itilizatè epi li itilize anvan egzekite pwogram BPF yo idantifye erè ak bloke posib aktivite move.
Pou verifikasyon, eBPF pou Windows sèvi ak yon metòd analiz estatik ki baze sou Entèpretasyon abstrè, ki, konpare ak verifikatè eBPF pou Linux, demontre yon pi ba pousantaj fo pozitif, sipòte analiz bouk, epi li bay bon évolutivité. Metòd la pran an kont anpil modèl ekzekisyon tipik yo jwenn nan analiz pwogram eBPF ki deja egziste yo.
Apre verifikasyon, bytecode a transfere nan yon entèprèt ki kouri nan nivo nwayo a, oswa pase nan yon du JIT, ki te swiv pa ekzekisyon nan kòd la machin ki kapab lakòz ak dwa nwayo. Pou izole moun k ap okipe eBPF nan nivo nwayo a, yo itilize mekanis HVCI (HyperVisor-enforced Code Integrity), ki sèvi ak zouti Virtualization pou pwoteje pwosesis ki nan nwayo a epi bay konfimasyon entegrite kòd egzekite a lè l sèvi avèk yon siyati dijital. Limit HVCI a se ke li ka sèlman verifye pwogram eBPF entèprete epi yo pa ka itilize ansanm ak JIT (ou gen yon chwa nan swa pèfòmans oswa sekirite adisyonèl).
Sous: opennet.ru