微軟啟動新的開源項目將Linux工具eBPF引入Windows
微軟啟動了一個新項目,目的是將Linux內核工具eBPF(擴展伯克利包過濾)引入Windows。該公司堅持認為,讓該技術在Windows中運行的舉措並不代表創建一個eBPF的分叉。相反,它將使用現有的項目,包括IOVisor uBPF項目和PREVAIL驗證器在自己的操作系統上運行eBPF程序和API–特別是Windows 10和Windows Server 2016或以上。
對於Windows上的eBPF來說,現在依然是處於非常早期的階段,因為微軟才剛剛啟動這個項目。因此,很難了解開發的速度且官方還沒有公佈時間表。在該項目的GitHub頁面上,微軟表示,其目的是”為使用跨操作系統生態系統的通用鉤子和輔助工具的代碼創建源代碼兼容性”。
由於它能夠在Linux內核中運行沙盒程序,而不需要改變內核源代碼或加載內核模塊,該技術對眾多安全應用來說是完美的。
eBPF是一項著名的技術,可以提供可編程性和敏捷性,特別是用於擴展操作系統內核,用於DoS保護和可觀察性等用例。這個項目是一項正在進行的工作,它允許使用Linux生態系統中熟悉的現有eBPF工具鍊和API在Windows之上使用。也就是說,這個項目將現有的eBPF項目作為子模塊,並在其間添加一層,使其在Windows之上運行。
在關於該技術的FAQ中,該公司指出,”當HVCI被啟用時,eBPF程序在解釋模式下可以正常工作,但在使用JIT編譯時就不行了”。
關於Windows上的eBPF的更多信息可在項目的GitHub頁面上找到: