Microsoft an exsecutionem subsystem eBPF pro Fenestra edidit, quod te permittit mittere tractatores arbitrarios currendo in nucleo systematis operantis. eBPF praebet interpretem bytecode in nucleum aedificatum, quod efficit ut operandi retis tractatores onerato spatio usoris creare possit, accessum moderari et operandi rationum monitor. eBPF in Linux nucleo inclusa cum emissione 3.18 et te permittit tractare ineuntes/exeuntes retiacula, fasciculum promovendi, band latitudo administrationis, ratio vocationis interceptio, accessum moderatio et pervestigatio. Per compilationem usui JIT, bytecode in muscam in instructiones machinae transfertur et cum exsecutione codici compilata est. eBPF pro Windows fons aperta est sub licentia MIT.
eBPF pro Fenestra adhiberi potest instrumentis eBPF existentibus et genus API praebet ad applicationes eBPF in Linux. Inter alia, consilium permittit te codicem scribentem in C in eBPF bytecode exarare, utens vexillum Clang-substructum eBPF compilator et tractes eBPF iam creatum pro Linux in summitate nuclei Windows, specialem convenientiam stratam praebens et vexillum Libbpf sustinens. API ad convenientiam cum applicationibus quae cum programs eBPF inter se occurrunt. Haec includit stratis quae Linux-similes hamos praebent pro XDP (expresse Data Path) et nervum ligamen, accessum abstrahentes ad acervum retis et retis Windows. Consilia includunt praebentes plenam fontem codicem gradu convenientiae cum processoribus vexillum Linux eBPF.
Clavis differentia inter exsequendam eBPF pro Fenestra est usus alterius bytecode verificantis, a VMware conductis et inquisitoribus a Canadian et Israelis universitatibus originaliter propositam. Verificans in separato, remoto processu in spatio usoris decurrit et antequam programmata exequens BPF adhibet ad errores cognoscendos et actionem malignam obstruendam.
Pro verificatione, eBPF pro Fenestra utitur analysis stabili methodo in Abstracta Interpretatione, quae, comparata ad eBPF verificantis pro Linux, inferiorem falsam affirmativam demonstrat, ansam analysim sustinet et bonam scalam praebet. Methodus multa cogitat exsecutionis typica exemplaria ex analysi programmatum eBPF existentium consecuta.
Post verificationem, bytecode transfertur ad interpretem currentem in gradu nuclei, vel per JIT compilator transivit, sequitur exsecutio machinae codici consequentis cum iure nucleo. Tractatores ad nucleum recludet eBPF, in HVCI (HyperVisor-Codice Integrity) mechanismus adhibetur, qui virtualizationis instrumentorum processus in nucleo tuendi utitur et confirmationem praebet integritatis exsequendi codicis utens signatura digitalis. Limitatio HVCI est quod programmata eBPF interpretata solum cognoscere potest et in coniunctione cum JIT adhiberi non potest (electionem habes vel executionis vel securitatis addito).
Source: opennet.ru