Microsoft, eBPF alt sisteminin bir uygulamasını yayınladı. WindowsBu, işletim sistemi çekirdeği düzeyinde çalışan keyfi işleyicilerin yürütülmesine olanak tanır. eBPF, kullanıcı alanında yüklenebilir ağ işlemi işleyicilerinin oluşturulmasını, erişim kontrolünü ve sistem izlemesini sağlayan, çekirdeğe entegre bir bayt kodu yorumlayıcısı sağlar. eBPF çekirdeğe dahildir. Linux 3.18 sürümünden itibaren, gelen/giden ağ paketlerinin işlenmesini, paket yönlendirmeyi, bant genişliği yönetimini, sistem çağrısı engellemeyi, erişim kontrolünü ve izlemeyi mümkün kılar. Anlık derleme (JIT) sayesinde, bayt kodu anında makine komutlarına çevrilir ve derlenmiş kod performansıyla yürütülür. eBPF kaynak kodu Windows MIT lisansı altında açık kaynak kodlu olarak yayınlanmıştır.
eBPF için Windows Mevcut eBPF araçlarıyla birlikte kullanılabilir ve eBPF uygulamaları için kullanılan standart bir API sağlar. LinuxProje, diğer özelliklerinin yanı sıra, Clang tabanlı standart eBPF derleyicisini kullanarak C dilinde yazılmış kodu eBPF bayt koduna derlemenize ve önceden oluşturulmuş eBPF dosyalarını çalıştırmanıza olanak tanır. Linux Çekirdeğin üzerinde eBPF işleyicileri WindowsBu, eBPF programlarıyla etkileşim kuran uygulamalarla uyumluluk için özel bir uyumluluk katmanı sağlayan ve standart Libbpf API'sini destekleyen katmanları içerir. Bu, aşağıdaki özellikleri sağlayan katmanları da kapsar: LinuxXDP (eXpress Data Path) ve soket bağlama için benzer kancalar, ağ yığınına ve ağ sürücülerine erişimi soyutlar. WindowsPlanlar, standart eBPF işleyicileriyle tam kaynak düzeyinde uyumluluk sağlamayı içeriyor. Linux.
eBPF uygulamasındaki temel fark şudur: Windows Çözüm, VMware çalışanları ve Kanada ve İsrail üniversitelerinden araştırmacılar tarafından önerilen alternatif bir bayt kodu doğrulayıcısının kullanılmasıdır. Doğrulayıcı, kullanıcı alanında ayrı, izole bir işlemde çalışır ve hataları belirlemek ve potansiyel kötü amaçlı faaliyetleri engellemek için BPF programları yürütülmeden önce uygulanır.
eBPF'ye giriş yapmak için Windows Soyut Yorumlama tabanlı statik analiz yöntemi kullanılır; bu yöntem, eBPF doğrulayıcısına kıyasla, Linux Bu yöntem, daha düşük yanlış pozitif oranı gösterir, döngü analizini destekler ve iyi bir ölçeklenebilirlik sağlar. Mevcut eBPF programlarının analizinden elde edilen çeşitli tipik yürütme modellerini dikkate alır.
Doğrulamanın ardından bayt kodu, çekirdek seviyesinde çalışan bir yorumlayıcıya aktarılır veya bir JIT derleyicisinden geçirilir ve ardından elde edilen makine kodunun çekirdek haklarıyla çalıştırılması gelir. EBPF işleyicilerini çekirdek düzeyinde izole etmek için, çekirdekteki işlemleri korumak için sanallaştırma araçlarını kullanan ve dijital imza kullanarak yürütme kodunun bütünlüğünün onaylanmasını sağlayan HVCI (HyperVisor ile güçlendirilmiş Kod Bütünlüğü) mekanizması kullanılır. HVCI'nin sınırlaması, yalnızca yorumlanmış eBPF programlarını doğrulayabilmesi ve JIT ile birlikte kullanılamamasıdır (performans veya ek güvenlik seçeneğiniz vardır).
Kaynak: opennet.ru
