„Microsoft“ paskelbė eBPF posistemio įgyvendinimą Windows, позволяющую запускать произвольные обработчики, работающие на уровне ядра операционной системы. eBPF предоставляет встроенный в ядро интерпретатор байткода, дающий возможность создавать загружаемые из пространства пользователя обработчики сетевых операций, контролировать доступ и отслеживать работу систем. eBPF включён в состав ядра Linux начиная с выпуска 3.18 и позволяет обрабатывать входящие/исходящие сетевые пакеты, перенаправлять пакеты, управлять пропускной способностью, перехватывать системные вызовы, контролировать доступ и осуществлять трассировку. Благодаря применению JIT-компиляции, байткод на лету транслируется в машинные инструкции и выполняется с производительностью скомпилированного кода. Исходные тексты eBPF для Windows открыты под лицензией MIT.
eBPF для Windows может применяться с уже существующими инструментами для работы eBPF и предоставляет типовой API, применяемый для eBPF-приложений в Linux. В том числе проект позволяет компилировать написанный на языке Си код в байткод eBPF при помощи штатного компилятора eBPF на базе Clang и запускать уже созданные для Linux обработчики eBPF поверх ядра Windows, предоставляя специальную прослойку совместимости и поддерживая штатный API Libbpf для совместимости c приложениями, взаимодействующими с программами eBPF. В том числе предлагаются прослойки, предоставляющие Linux-подобные hook-и для XDP (eXpress Data Path) и socket bind, абстрагирующие доступ к сетевому стеку и сетевым драйверам Windows. Из планов отмечается предоставление полноценной совместимости на уровне исходных текстов с типовыми eBPF-обработчиками Linux.
Ключевым отличием реализации eBPF для Windows является применение альтернативного верификатора байткода, изначально предложенного сотрудниками компании VMware и исследователями из канадских и израильских университетов. Верификатор запускается в отдельном изолированном процессе в пространстве пользователя и применяется перед выполнением BPF-программ с целью выявления ошибок и блокирования возможной вредоносной активности.
Для проверки в eBPF для Windows применяется метод статического анализа на основе абстрактной интерпретации (Abstract Interpretation), который по сравнению с верификатором eBPF для Linux демонстрирует более низкий уровень ложных срабатываний, поддерживает анализ циклов и обеспечивает хорошую масштабируемость. Метод учитывает множество типовых шаблонов выполнения, полученных на основе анализа существующих eBPF-программ.
Po patikrinimo baito kodas perkeliamas į interpretatorių, veikiantį branduolio lygiu, arba perduodamas per JIT kompiliatorių, o po to vykdomas gautas mašinos kodas su branduolio teisėmis. Norint izoliuoti eBPF tvarkykles branduolio lygiu, naudojamas HVCI (HyperVisor-enforced Code Integrity) mechanizmas, kuris naudoja virtualizacijos įrankius branduolyje vykstantiems procesams apsaugoti ir suteikia vykdomojo kodo vientisumo patvirtinimą naudojant skaitmeninį parašą. HVCI apribojimas yra tas, kad jis gali patikrinti tik interpretuotas eBPF programas ir negali būti naudojamas kartu su JIT (galite pasirinkti našumą arba papildomą apsaugą).
Šaltinis: opennet.ru
