微软启动了一个新项目,将Linux内核工具eBPF(ExtendedBerkeleyPacketFilter)引入Windows。该公司坚称,使该技术在Windows中运行的举措并不代表创建eBPF的分支。相反,它将使用现有项目(包括IOVisoruBPF项目和PREVAIL验证器)在其自己的操作系统上运行eBPF程序和API——特别是Windows10和WindowsServer2016或更高版本。Windows上的eBPF还处于早期阶段,因为Microsoft才刚刚启动该项目。因此,很难知道开发速度,官方时间表尚未公布。在该项目的GitHub页面上,微软表示其目标是“为在整个操作系统生态系统中使用通用挂钩和帮助工具的代码创建源代码兼容性”。由于无需更改内核源代码或加载内核模块即可在Linux内核中运行沙盒程序,因此该技术非常适合许多安全应用程序。eBPF是一项众所周知的技术,可以提供可编程性和敏捷性,特别是对于扩展操作系统内核,用于DoS保护和可观察性等用例。这个项目正在进行中,允许在Windows上使用现有的eBPF工具链和Linux生态系统中熟悉的API。也就是说,该项目将现有的eBPF项目作为子模块,并在两者之间添加一个层以使其在Windows之上运行。在有关该技术的常见问题解答中,该公司表示“eBPF程序在启用HVCI时在解释模式下运行良好,但在使用JIT编译时则不然”。有关Windows上eBPF的更多信息,请访问该项目的GitHub页面:https://github.com/Microsoft/ebpf-for-windows
