ZDNet tarafından yayınlanan bir raporda, Microsoft’un Linux güvenlik aracı genişletilmiş Berkeley Paket Filtresi‘ni (eBPF) Windows 10’a getirmek için çalışmalara başladığını belirtti. Araç şu anda Linux için Windows Alt Sisteminde çalıştırılabilir durumda, ancak Microsoft yerel destek üzerinde çalışmalar sergiliyor; sorun, aracın her türlü güvenlik karmaşasını ortaya çıkaran çekirdek bağlamında kod çalıştırmasıdır.
Bununla birlikte, eBPF ağ filtrelemede, analizinde ve yönetiminde ve ayrıca sistem çağrısı filtrelemede ve süreç bağlamı izlemede yaygın olarak kullanıldığından ve Cilium, Falco ve Tracee gibi birden çok güvenlik uygulamasının temelini oluşturduğundan, Hubble ve Pixie gibi Kubernetes gözlem programları ve Clang gibi araç zincirlerine ek olarak kullanışlı olabilir.
Windows için eBPF projesi, birkaç mevcut eBPF açık kaynak projesini almayı hedefliyor ve bunların Windows üzerinde çalışmasını sağlamak için “yapıştırıcı” ekliyor.
Şemada gösterildiği gibi, mevcut eBPF araç zincirleri (clang, vb.), Çeşitli dillerde kaynak kodundan eBPF bayt kodu oluşturmak için kullanılabilir. Bytecode, herhangi bir uygulama tarafından veya Libbpf API’lerini açığa çıkaran paylaşımlı bir kitaplık kullanan Netsh komut satırı aracı aracılığıyla kullanılabilir, ancak bu hala devam etmektedir.
EBPF bayt kodu, kullanıcı modu korumalı bir işlemde (çekirdek bileşeninin güvendiği bir anahtarla imzalanmış bir kullanıcı modu arka plan programına güvenmesine izin veren bir Windows güvenlik ortamı) barındırılan statik bir doğrulayıcıya (PREVAIL doğrulayıcı) gönderir. Bayt kodu tüm doğrulayıcı kontrollerini geçerse, bir yorumlayıcıya yüklenebilir (çekirdek modu yürütme bağlamında uBPF’den) veya JIT derlenebilir (uBPF JIT derleyicisi aracılığıyla) ve çekirdek modu yürütmesine yerel kod yüklenebilir.
Çekirdek modu yürütme bağlamına yüklenen eBPF programları, çeşitli kancalara (şu anda iki kanca: XDP ve bir soket bağlama kancası) bağlanabilir ve eBPF dolgusu tarafından açığa çıkan çeşitli yardımcı API’leri çağırarak genel Windows çekirdek API’lerini dahili olarak sararak, eBPF’nin mevcut Windows sürümlerinde kullanılması. Zamanla daha fazla kanca ve yardımcı eklenmesine sebep olacaktır
Sonuç, eBPF için Windows geliştiricilerin yeniden kodlama yapmak zorunda kalmadan açık kaynaklı eBPF programlarını kullanmalarına olanak tanıyan Windows’a özgü bir barındırma ortamı olacaktır.
Bilgisayar bilgisayar bilgisayar oyunları bilgisayar oyunları ne yapacağız Evet meyve olsun söylemeyeceğiz İM