Microsoft eBPF подсистемасын ишке ашырууну жарыялады Windows, бул операциялык системанын ядро деңгээлинде иштеген каалаган иштетүүчүлөрдү аткарууга мүмкүндүк берет. eBPF ядрого интеграцияланган байткод интерпретаторун камсыз кылат, ал колдонуучу мейкиндигине жүктөлүүчү тармактык операция иштетүүчүлөрүн түзүүгө, кирүүнү башкарууга жана системаны көзөмөлдөөгө мүмкүндүк берет. eBPF ядрого киргизилген. Linux 3.18 версиясы чыккандан бери ал кирүүчү/чыгуучу тармактык пакеттерди иштетүүгө, пакеттерди кайра багыттоого, өткөрүү жөндөмдүүлүгүн башкарууга, системалык чалууларды кармоого, кирүүнү башкарууга жана көзөмөлдөөгө мүмкүндүк берет. Just-in-Time (JIT) компиляциясынын аркасында байткод машинанын көрсөтмөлөрүнө тез которулуп, компиляцияланган коддун иштеши менен аткарылат. eBPF булак коду Windows MIT лицензиясынын алкагында ачык булактуу.
eBPF үчүн Windows бар болгон eBPF куралдары менен колдонулушу мүмкүн жана eBPF тиркемелери үчүн колдонулган стандарттуу API менен камсыз кылат LinuxБашка нерселер менен катар, долбоор сизге Clang жана run негизинде түзүлгөн стандарттуу eBPF компиляторун колдонуп, C тилинде жазылган кодду eBPF байткодуна компиляциялоого мүмкүндүк берет. Linux ядронун үстүндөгү eBPF иштеткичтери Windows, атайын шайкештик катмарын камсыз кылат жана eBPF программалары менен өз ара аракеттенүүчү тиркемелер менен шайкештик үчүн стандарттуу Libbpf API'син колдойт. Буга камсыз кылган катмарлар кирет Linux-XDP (eXpress Data Path) жана тармактык стектерге жана тармактык драйверлерге абстракттуу кирүүнү камсыз кылган сокет байланыштары сыяктуу илгичтер WindowsПландарга стандарттуу eBPF иштетүүчүлөрү менен булак деңгээлиндеги толук шайкештикти камсыз кылуу кирет. Linux.
eBPF ишке ашыруудагы негизги айырмачылык Windows Чечим - башында VMware кызматкерлери жана Канада менен Израилдин университеттеринин изилдөөчүлөрү тарабынан сунушталган альтернативдүү байткод текшергичти колдонуу. Текшергич колдонуучу мейкиндигинде өзүнчө, обочолонгон процессте иштейт жана каталарды аныктоо жана потенциалдуу зыяндуу аракеттерди бөгөттөө үчүн BPF программаларын аткаруудан мурун колдонулат.
eBPF'те текшерүү үчүн Windows Абстракттуу интерпретацияга негизделген статикалык анализ ыкмасы колдонулат, ал eBPF текшерүүчүсү менен салыштырганда, Linux Бул ыкма жалган оң көрсөткүчтөрдүн төмөндүгүн көрсөтөт, циклдик анализди колдойт жана жакшы масштабдалууну камсыз кылат. Ал учурдагы eBPF программаларын талдоо аркылуу алынган ар кандай типтүү аткаруу үлгүлөрүн эске алат.
Текшерүүдөн кийин, байт код ядро деңгээлинде иштеген интерпретаторго өткөрүлүп берилет же JIT компилятору аркылуу өткөрүлөт, андан кийин ядролук укуктарга ээ болгон машиналык код аткарылат. eBPF иштеткичтерин ядро деңгээлинде изоляциялоо үчүн HVCI (HyperVisor-enforced Code Integrity) механизми колдонулат, ал ядродогу процесстерди коргоо үчүн виртуалдаштыруу куралдарын колдонот жана санариптик кол тамганы колдонуу менен аткаруучу коддун бүтүндүгүн ырастоону камсыз кылат. HVCIдин чектөөсү, ал чечмеленген eBPF программаларын гана текшере алат жана JIT менен бирге колдонулбайт (сизде аткарууну же кошумча коопсуздукту тандоо мүмкүнчүлүгү бар).
Source: opennet.ru
