Microsoft telah menerbitkan satu pelaksanaan subsistem eBPF untuk Windows, yang membolehkan pelaksanaan pengendali sewenang-wenangnya yang berjalan pada peringkat kernel sistem pengendalian. eBPF menyediakan penterjemah bytecode bersepadu kernel, yang membolehkan penciptaan pengendali operasi rangkaian yang boleh dimuatkan oleh ruang pengguna, kawalan akses dan pemantauan sistem. eBPF disertakan dalam kernel. Linux Sejak keluaran 3.18, ia membolehkan pemprosesan paket rangkaian masuk/keluar, pengalihan paket, pengurusan lebar jalur, pintasan panggilan sistem, kawalan akses dan pengesanan. Terima kasih kepada kompilasi tepat pada masanya (JIT), bytecode diterjemahkan ke dalam arahan mesin dengan pantas dan dilaksanakan dengan prestasi kod yang dikompilasi. Kod sumber eBPF untuk Windows sumber terbuka di bawah lesen MIT.
eBPF untuk Windows boleh digunakan dengan alat eBPF sedia ada dan menyediakan API standard yang digunakan untuk aplikasi eBPF dalam LinuxAntara lain, projek ini membolehkan anda mengkompil kod yang ditulis dalam C ke dalam bytecode eBPF menggunakan pengkompil eBPF standard berdasarkan Clang dan jalankan yang telah dicipta untuk Linux pengendali eBPF di atas kernel Windows, menyediakan lapisan keserasian khas dan menyokong API Libbpf standard untuk keserasian dengan aplikasi yang berinteraksi dengan program eBPF. Ini termasuk lapisan yang menyediakan Linuxcangkuk seperti untuk XDP (eXpress Data Path) dan socket bind, mengabstrakkan akses kepada tindanan rangkaian dan pemacu rangkaian WindowsPelan termasuk menyediakan keserasian peringkat sumber penuh dengan pengendali eBPF standard. Linux.
Perbezaan utama dalam pelaksanaan eBPF untuk Windows Penyelesaiannya ialah penggunaan pengesah bytecode alternatif, yang pada asalnya dicadangkan oleh pekerja dan penyelidik VMware dari universiti Kanada dan Israel. Pengesah berjalan dalam proses berasingan dan terpencil dalam ruang pengguna dan digunakan sebelum melaksanakan program BPF untuk mengenal pasti ralat dan menyekat potensi aktiviti berniat jahat.
Untuk mendaftar masuk eBPF bagi Windows Kaedah analisis statik berasaskan Tafsiran Abstrak digunakan, yang mana, berbanding dengan pengesah eBPF, Linux Kaedah ini menunjukkan kadar positif palsu yang lebih rendah, menyokong analisis gelung dan memastikan kebolehskalaan yang baik. Ia mengambil kira pelbagai corak pelaksanaan tipikal yang diperoleh dengan menganalisis program eBPF sedia ada.
Selepas pengesahan, bytecode dipindahkan kepada penterjemah yang berjalan pada peringkat kernel, atau melalui pengkompil JIT, diikuti dengan pelaksanaan kod mesin yang terhasil dengan hak kernel. Untuk mengasingkan pengendali eBPF pada peringkat kernel, mekanisme HVCI (HyperVisor-enforced Code Integrity) digunakan, yang menggunakan alat virtualisasi untuk melindungi proses dalam kernel dan memberikan pengesahan integriti kod pelaksana menggunakan tandatangan digital. Had HVCI ialah ia hanya boleh mengesahkan program eBPF yang ditafsirkan dan tidak boleh digunakan bersama-sama dengan JIT (anda mempunyai pilihan sama ada prestasi atau keselamatan tambahan).
Sumber: opennet.ru
