The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Microsoft подготовил реализацию eBPF для Windows

11.05.2021 11:41

Компания Microsoft опубликовала реализацию подсистемы eBPF для Windows, позволяющую запускать произвольные обработчики, работающие на уровне ядра операционной системы. eBPF предоставляет встроенный в ядро интерпретатор байткода, дающий возможность создавать загружаемые из пространства пользователя обработчики сетевых операций, контролировать доступ и отслеживать работу систем. eBPF включён в состав ядра Linux начиная с выпуска 3.18 и позволяет обрабатывать входящие/исходящие сетевые пакеты, перенаправлять пакеты, управлять пропускной способностью, перехватывать системные вызовы, контролировать доступ и осуществлять трассировку. Благодаря применению JIT-компиляции, байткод на лету транслируется в машинные инструкции и выполняется с производительностью скомпилированного кода. Исходные тексты eBPF для Windows открыты под лицензией MIT.

eBPF для Windows может применяться с уже существующими инструментами для работы eBPF и предоставляет типовой API, применяемый для eBPF-приложений в Linux. В том числе проект позволяет компилировать написанный на языке Си код в байткод eBPF при помощи штатного компилятора eBPF на базе Clang и запускать уже созданные для Linux обработчики eBPF поверх ядра Windows, предоставляя специальную прослойку совместимости и поддерживая штатный API Libbpf для совместимости c приложениями, взаимодействующими с программами eBPF. В том числе предлагаются прослойки, предоставляющие Linux-подобные hook-и для XDP (eXpress Data Path) и socket bind, абстрагирующие доступ к сетевому стеку и сетевым драйверам Windows. Из планов отмечается предоставление полноценной совместимости на уровне исходных текстов с типовыми eBPF-обработчиками Linux.

Ключевым отличием реализации eBPF для Windows является применение альтернативного верификатора байткода, изначально предложенного сотрудниками компании VMware и исследователями из канадских и израильских университетов. Верификатор запускается в отдельном изолированном процессе в пространстве пользователя и применяется перед выполнением BPF-программ с целью выявления ошибок и блокирования возможной вредоносной активности.

Для проверки в eBPF для Windows применяется метод статического анализа на основе абстрактной интерпретации (Abstract Interpretation), который по сравнению с верификатором eBPF для Linux демонстрирует более низкий уровень ложных срабатываний, поддерживает анализ циклов и обеспечивает хорошую масштабируемость. Метод учитывает множество типовых шаблонов выполнения, полученных на основе анализа существующих eBPF-программ.

После верификации байткод передаётся в интерпретатор, работающий на уровне ядра, или пропускается через JIT-компилятор с последующим выполнением результирующего машинного кода с правами ядра. Для изоляции обработчиков eBPF на уровне ядра применяется механизм HVCI (HyperVisor-enforced Code Integrity), использующий средства виртуализации для защиты процессов в ядре и обеспечивающий подтверждение целостности выполняемого кода по цифровой подписи. Ограничением HVCI является возможность верификации только интерпретируемых eBPF-программ и невозможность использования совместно с JIT (предоставляется выбор - либо производительность, либо дополнительная защита).

  1. Главная ссылка к новости (https://news.ycombinator.com/i...)
  2. OpenNews: Уязвимость в ядре Linux, позволяющая повысить свои привилегии через BPF
  3. OpenNews: Уязвимости в подсистеме eBPF ядра Linux
  4. OpenNews: В состав GCC принят бэкенд для компиляции в eBPF
  5. OpenNews: Google представил Cilium, сетевую систему для Linux-контейнеров, основанную на BPF
  6. OpenNews: Для ядра Linux предложен новый пакетный фильтр bpfilter
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/55127-ebpf
Ключевые слова: ebpf, bpf, windows
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (131) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 12:16, 11/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    MIT - это хорошо, теперь и в BSD могут портировать.
     
     
  • 2.7, Арагорн (?), 12:30, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • –29 +/
    уж точно лучше GPL
     
     
  • 3.47, кек (?), 15:04, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • –10 +/
    Линукс = Виндовс, это видно по убунте
     
     
  • 4.85, Shnorr (?), 19:20, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Что тебе там видно? Норм дистр в прямых руках. Гномы, Вейленды, Системд везде одинаковые, дебиан он и есть, только получше преднастроен из коробки, особенно для декстопа.

    Ubuntu Core для IoT вообще в космос слетала в качестве по для управления зондом.

     
     
  • 5.94, жоннн (?), 20:03, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >  Системд везде одинаковые

    https://blog.netlab.360.com/stealth_rotajakiro_backdoor_en/

     
     
  • 6.120, barmaglot (??), 10:57, 12/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Не работает. Это говнище сначала установить нужно. И где скачать не написано.
     
  • 3.149, Java omnomnom your memory (?), 12:41, 18/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А вот автору Material Theme UI лучше было бы поставить GPL в таком случае не было бы его паразитирование на плагине для Intellij
     
  • 2.24, Ivan_83 (ok), 13:25, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • +12 +/
    Berkley Packet Filter = BPF, думаете этого в BSD ещё нет?))))
     
     
  • 3.108, Аноним (108), 07:11, 12/05/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    толсто.
    А вообще работало когда Линукс еще не умел грузится без паник
     
  • 2.49, Аноним (-), 15:17, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Э-э, смотри - фокус https github com torvalds linux blob master include uapi ... большой текст свёрнут, показать
     
     
  • 3.150, анонн (ok), 00:39, 24/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >> MIT - это хорошо, теперь и в BSD могут портировать.
    > Э-э, смотри - фокус:

    Э-э, разве это фокус?! Вот как надо:



    commit 055dc8e12114d91b9d472f6f1f094db4fc8470dc
    Author: jkim <jkim@FreeBSD.org>
    Date:   Tue Dec 6 02:58:12 2005 +0000
        Add experimental BPF Just-In-Time compiler for amd64 and i386.    
        Use the following kernel configuration option to enable:    
                options BPF_JITTER    
        If you want to use bpf_filter() instead (e. g., debugging), do:    
                sysctl net.bpf.jitter.enable=0




    https://www.freebsd.org/releases/7.0R/announce/
    > FreeBSD 7.0-RELEASE Announcement
    > Date: Wed, 27 Feb 2008 17:19:52 -0500
    > JIT compilation to turn BPF into native code, improving packet capture performance.
    >

     
  • 2.52, Аноним (52), 15:49, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Портировать туда, где это изначально и было? Хитро
     
     
  • 3.57, qqq (??), 16:15, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    eBPF != BPF
     
     
  • 4.68, Аноним (68), 17:24, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    "Это другое!"
     

  • 1.2, нитупен (?), 12:18, 11/05/2021 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • –12 +/
     

     ....ответы скрыты (3)

  • 1.4, Аноним (4), 12:23, 11/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Это хорошо или плохо?
     
     
  • 2.5, A no Nim (?), 12:26, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    У вас других градаций нету?
     
     
  • 3.8, Леголас (ok), 12:35, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • +12 +/
    1 и 0
     
     
  • 4.72, penetrator (?), 17:40, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    |0>+|1>
     
  • 4.126, iFRAME (ok), 13:04, 12/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    1==0
     
  • 3.20, Аноним (20), 13:20, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Да.
     
  • 3.21, Аноним (20), 13:21, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Нет.
     
  • 2.6, Аноним (-), 12:28, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Это винда, и потому нафиг нужно.
     
     
  • 3.112, Прохожий (??), 07:27, 12/05/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Религия запрещает портировать под Линукс?
     
  • 2.10, Аноним (10), 12:35, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Для кого? Для МС и их пользователей наверно хорошо.
     
  • 2.11, Аноним (11), 12:37, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Это начала перехода на опенсорсное ядро
     
     
  • 3.60, Аноним (60), 16:48, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Нет, это начало конца linux.
    Помянем ещё одну жертву EEE
     
     
  • 4.101, ананим.orig (?), 21:21, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    бэкдор все лишь унифицировали.
    а крику то, крику..
     
  • 2.14, Аноним (-), 12:50, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    пользователи xp и ядра 2.4 взволнованы, пользователи дилиньков и самсунгов уже перепрошивают последним виндовс.
     
  • 2.53, Аноним Мая 11го в 2021м. (?), 15:56, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Это хорошо или плохо?

    Это известный поставщик халтуры - быстрее других, некачественно, дешевле других.

     
     
  • 3.115, Прохожий (??), 07:30, 12/05/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ты новость внимательно читал, или просто надо было что-то сказать? Написано же, что лучше, чем в Линуксе. Куча исследователей работала.
     
     
  • 4.140, Анто Нимно (?), 21:28, 13/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Каммент про поставщика кода. Поставщик - известный халтурщик.
     
  • 2.67, Аноним (67), 17:23, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Хоть сетевой стек в винде наконец то на нормальный перепишут. Роутеры из десятки скоро начнём делать. Малинки на 4гб уже есть.
     
     
  • 3.73, Пофигист (?), 17:43, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    4гб для вин10 только на пинг и хватит
     
  • 3.145, Аноним (145), 13:03, 14/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Поправил: [sarcasm]Роутеры из десятки скоро начнём делать.[/sarcasm]
     

  • 1.9, Аноним (12), 12:35, 11/05/2021 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • –1 +/
     
  • 1.13, Любитель Монеточки (?), 12:41, 11/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    То есть MS в рамках eBPF открыли исходники netsh?
     
  • 1.15, Аноним (15), 12:52, 11/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Шиндекапец? А то все орали что линуксу приходится догонять. Не то чтобы дело в этом. Ну у них наверное есть деньги и на венду, и на серверную редакцию оной. Зачем теперь венда, когда она признает все величие Linux?
     
     
  • 2.19, Аноним (-), 13:10, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Шиндекапец? А то все орали что линуксу приходится догонять.

    Наверное именно поэтому они WSL запилили, ага...

     
     
  • 3.51, Аноним (-), 15:28, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Шиндекапец? А то все орали что линуксу приходится догонять.
    > Наверное именно поэтому они WSL запилили, ага...

    "Запилили" - это перестали развивать (дейстительно требующую разработки) эмуляцию в виде прослойки совместимости (WSL1) и просто сделали преднастоенную виртуалку, прям как XP-Mode в семерочке? Ну да - это ПОБЕДА!11

     
     
  • 4.62, Аноним (15), 16:50, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну семерка то не обвешана зондами по умолчанию. Их можно только накачать с обновлениями, которые ее калечат в угоду "улучшенному переходу на 10-ку". Там ведь надо полноценный дистрибутив линукс ставить. Сложновато назвать это преднастроенной виртуалкой. Особенно когда там Gentoo крутится и графическое окно свое показывает. ХР режим позволял запускать игры для ХР. Он даже не грузил практически ничего. Ну там минимум ресурсов жралось. А теперь видишь мелкомягкие не могут жить без линукса. Понимают что их прошивку для игр в виртуалку запихивают и пробрасывают в нее видеокарту чтобы ограничить ее похабные повадки с шпионажем за действиями пользователей даже после кастрации большей части шпионского функционала.
     
     
  • 5.109, Аноним (108), 07:17, 12/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Для анона - это не шпионаж, а контршпионаж получается.

    Допустим поставил ты что-то от Яндекс/Касперыча/Мейру и Co. И сидишь, играешь в Майнкрафт, строишь там, взрываешь. А потом бум-бум-бум: "гражданин, откройте!!! Вы взрывали в Майкрафт здание, похожее на Лубяночку??!".  Это, получается, шпионаж за аноном. Ведущий к бутылке.

    А тут шпионаж за шпионами, значит, контршпионаж

     
     
  • 6.117, Аноним (-), 09:05, 12/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Хороший, годный анон
    > что-то от Яндекс/Касперыча/Мейру и Co

    на свою тачку не притащит, а негодным поделом.
    > тут шпионаж за шпионами, значит, контршпионаж

    Демагогия, оно все |шпионаж|, +/- для анона как третьей стороны - $согласно_аксиоме_Эскобара.

     
  • 4.119, MS (??), 10:40, 12/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну а чего делать-то оставалось, stable api nonsense же ж, без конца стоять на коленях в lkml "да примите ж уже наконец наши патчи, они ж ВАШИ баги исправляют" - тоже сотрудников не напасешься, они и за зарплату не очень хотят таким заниматься и colour на color в комментариях бесконечно исправлять.

    Засунули в эмулятор - "и так сойдет!" - фанатикам все равно ж не нужна производительность, а разработчики просто купят компьютер помощнее.

     

  • 1.16, gogo (?), 12:57, 11/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Метод учитывает множество типовых шаблонов выполнения, полученных на основе анализа существующих eBPF-программ.
    > После верификации байткод передаётся в интерпретатор....

    Что-то я не понял... Если напишешь какой-то нетипичный код, то тебе еще как-то придется доказывать машине, что ты не вирус, а человек??

     
     
  • 2.17, Аноним (12), 13:04, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Почему сраная типизация подразумевает 32/64?
     
  • 2.23, пох.. (?), 13:22, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    машина - она железная, как ты ей что-то доказывать собрался? Сказали вирус - значит ты вирус, шагом марш в колбу с изопропиловым спиртом.

     

  • 1.18, Аноним (18), 13:05, 11/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Embrace
     
  • 1.22, Аноним (-), 13:21, 11/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    От компания Microsoft нам ничего не нужно.
     
     
  • 2.96, ИмяХ (?), 20:23, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Вам, может, и не нужно, а нам нужно.
     
  • 2.110, Аноним (108), 07:19, 12/05/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    даже у Вадим Вадимыча на столе XP-шка, а ему вишь не нужно.
     
     
  • 3.135, Аноним (145), 15:18, 13/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Владимиру Владимировичу она тоже не нужна, ему распечатки приносят. Он этими вашими интернетами не интересуется.
     

  • 1.26, Аноньимъ (ok), 13:28, 11/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Шикарный интерфейс для вирусов.
     
  • 1.27, Ivan_83 (ok), 13:29, 11/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Ну и что они будут делать с этим?
    Это же максимум аналог ACL с коммутаторов будет, который только пущать/дропать умеет.
    Из картинок не видно как можно отматченный пакет не дропнуть а переслать куда то ещё, хотя бы просто на другой интерфейс или вообще взять и поменять в нём что то.
     
     
  • 2.40, 1 (??), 14:09, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ну это же тебе не netgraph.

    Хотя ... возможно, дорога к нему.

     

  • 1.28, Ivan_83 (ok), 13:31, 11/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Забавно, но я вот во фре запилил для себя, за вечер такое же, с помощью чистого шелла и того что есть в системе лет 15: https://reviews.freebsd.org/D30175

    можно вешать фильтры на интерфейсы, на вход и на выход раздельно, синтаксис фильтров - tcpdump.
    Те в начале обкатываем в tcpdump что нужно, а потом копипастим это в конфиг и дёргаем скрипт.

     
     
  • 2.32, Аноним (32), 13:50, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    а ограничения по приложениям тоже можно?
     
     
  • 3.35, Онаним (?), 13:58, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Смотря что ты считаешь приложением.
     
  • 3.98, Ivan_83 (ok), 21:01, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Нет!
    Оно вешается на интерфейс с эзернетом и о приложениях вообще ничего не знает.

    Это появилось для того чтобы мне удобно было блочить TCP RST от провайдера при посещении типа заблокированных сайтов. Говорят ipfw это и так умеет, но я юзаю PF и мне оказалось удобнее сделать вот такой фильтр.
    При этом он может работать не только с IPv4/IPv6 но и вообще любым протоколом который обитает в эзернете и выше по стёку.

    Сильно много и сильно длинные фильтры туда разумеется лучше не пихать, тк это негативно скажется на производительности, но с десяток - другой обычных фильтров не должны быть заметны.

     

  • 1.38, Catwoolfii (ok), 14:02, 11/05/2021 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • +/
     
  • 1.42, msgodpc (?), 14:42, 11/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а слабо целиком стек tcp + netfilter перенести?
     
     
  • 2.45, Аноним (45), 14:48, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    кстати да, мне иптаблесов в винде очень нехватало, а с выходом 10 уже и не нужно :D
     
  • 2.78, KenyaWest (ok), 17:59, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Упаси Столлман от такого
     
  • 2.116, Прохожий (??), 07:42, 12/05/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Зачем лучшее заменять худшим?
     
     
  • 3.144, Аноним (145), 13:00, 14/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Потому, что вендовое "лучшее" ничего кроме TCP и UDP не умеет. Да и то, надо же было извратить Socket API в WinSock, шоб не как у всех. Только вот сейчас ещё eBPF добавили. Думаю, что Гугель стал костылить свой QUIC в юзерспейсе потому, что в Венде нет SCTP.
     

  • 1.48, Аноним (48), 15:05, 11/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Windows уже пережевывает Linux, скоро он станет лучшей версией линукса, но в Windows-е
     
     
  • 2.54, Аноним (54), 15:57, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Они ещё со времён появления compiz интерфейс тырят из KDE, не удивительно что и решения из ядра тырят. Но windows никогда не станет GNU, у них задачи принципиально разные, свобода пользователя vs прибыль корпорации.
     
     
  • 3.80, KenyaWest (ok), 18:01, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > у них задачи... разные, свобода пользователя vs прибыль корпорации

    Кхм-кхм... RedHat, Ubuntu, AstraLinux... ага-ага. Linux проиграл уже давно - просто снимите GNU-шные очки

     
  • 2.55, Аноним Мая 11го в 2021м. (?), 16:02, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    У них никогда такое не получалось. Всегда на выходе было хуже чем на входе или хуже, чем у других.

    История испорченного Скайпа, история разных, разной успешности версий операционки, включая MS-DOS. Уродливый язык шелла Cmd. Нечёткости в монструозном Офисе.

    Будет ещё одна поделка, хуже, чем могло бы быть.

     
     
  • 3.88, СеменСеменыч777 (?), 19:31, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Уродливый язык шелла Cmd.

    1) cmd.exe жрет меньше чем bash.
    2) т.к. cmd.exe сам ничего не умеет, основная нагрузка ложится на system32\*.exe

     
     
  • 4.111, Аноним (108), 07:22, 12/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    2) - в старых Юниксах точно так же было
     
  • 4.136, Аноним (145), 15:21, 13/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Но это не отменяет того факта, что язык cmd.exe убог.
     
  • 2.97, ИмяХ (?), 20:25, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Они просто переносят из линукса технологии. А прользователи линукса работают бесплатными бета-тестерами этих технологий, сами того не зная.
     
     
  • 3.137, Аноним (145), 15:23, 13/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Большинство полоьзователей Линукса им пользуются на реальном железе, а не в этих их WSL2.
     

  • 1.58, vantoo (ok), 16:21, 11/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Такими темпами скоро в Винде от Винды ничего не останется и она превратится в еще одну POSIX-совместимую ОС.
     
     
  • 2.61, Аноним (61), 16:50, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Какой кошмар! Угробят систему.
     
     
  • 3.63, Аноним (15), 16:51, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Так они уже. Запускаешь безбашенный сервер без графики, заводишь линукс и вот тебе графика!
     

  • 1.59, Аноним (59), 16:44, 11/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Благодаря применению JIT-компиляции, байткод на лету транслируется в машинные инструкции и выполняется с производительностью скомпилированного кода.

    Куда катится Микрософт? Била Гейца и то с истинного пути сбили. А 15 лет назад в Микрософт еще было все в порядке:

    https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-xp/b)?redirectedfrom=MSDN

    "Hardware-enforced DEP marks all memory locations in a process as non-executable unless the location explicitly contains executable code. There is a class of attacks that attempt to insert and execute code from non-executable memory locations. DEP helps prevent these attacks by intercepting them and raising an exception."

     
     
  • 2.64, Аноним (59), 16:51, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ссылка выше кривая, эта правильная:
    http://technet.microsoft.com/en-us/library/bb457155.aspx
     
     
  • 3.65, msgodpc (?), 17:10, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Ссылка выше кривая, эта правильная:
    > http://technet.microsoft.com/en-us/library/bb457155.aspx

    Эй линусоед, это еще в 2003 винде было

     
     
  • 4.70, Аноним (59), 17:31, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Виндузятник, PaX в Linux был раньше. И вообще до переезда Торвальдса в США защита памяти в Linux была "из коробки".

    В Микрософт были 4 попытки внедрить защиту памяти в Виндовс. Ссылка http://technet.microsoft.com/en-us/library/bb457155.aspx это уже 5-тая, удачная реализация пригодная для промышленного использования.

     
     
  • 5.113, Аноним (108), 07:28, 12/05/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    а в опенке это было еще тогда, когда Линукз с зачеткой по кафедре бегал за преподами
     
     
  • 6.129, Аноним (129), 17:02, 12/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    В опенке защита памяти появилась относительно недавно. Тео неверно спроектировал защиту памяти в OpenBSD и она имеет дыры!!!

    Пример правильной, строгой, реализации защиты памяти смотрите в Linux+PaX или NetBSD.

     
  • 6.138, Аноним (145), 15:34, 13/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Только самого Опёнка еще не было. Были проприетарные 4.xBSD, BSDI.
     
  • 4.75, Аноним (59), 17:54, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Первые 4 попытки были предприняты не в Микрософт.

    1 Самая первая фирмой Secure Wave.
    2 Data Security Software.
    3 Sys-Manage https://www.sys-manage.com/Products/BufferShield
    4 Next Generation Security Technologies
    5 Микрософт: Windows XP SP2, Windows Server 2003.

    ASLR в Винду завезли только к 2006?
    1 Wehnus, Inc. http://www.codeplex.com/wehntrust
    http://blogs.msdn.com/michael_howard/archive/2006/05/26/608315.aspx
    2 Микрософт: Windows Vista, Windows Server 2008.

     
  • 2.69, Аноним (-), 17:25, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    распаковываться-то надо, и spray/jit-rop, чексуммы и т.д. опция за опцией расшатывает скрепы изначальной секмодели
     
     
  • 3.71, Аноним (59), 17:38, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А погнать нах всех неучей которым надо JIT и прочие вещи требующие выделения памяти в режиме исполнения и записи одновременно!
     
     
  • 4.77, Аноним (-), 17:59, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    на запись хватит, как-нибудь потом выполнится
     
     
  • 5.82, Аноним (59), 18:27, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Не хватит, в нормальных ядрах OS не выполнится:

    1 Linux
    https://en.wikibooks.org/wiki/Grsecurity/Appendix/Grsecurity_and_PaX_Configura)
    CONFIG_PAX_MPROTECT=y
    Enabling this option will prevent programs from
    - changing the executable status of memory pages that were not originally created as executable,
    - making read-only executable pages writable again,
    - creating executable pages from anonymous memory,
    - making read-only-after-relocations (RELRO) data pages writable again.

    2 Apple: OS X от леопарда и новее.

    3 NetBSD.

     
     
  • 6.107, Аноним (-), 06:58, 12/05/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    о нет, титаник должен утонуть
    bash-5.1# cat /proc/config.gz | gzip -dv | grep PAX
    bash-5.1#
     
     
  • 7.130, Аноним (129), 17:15, 12/05/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    PaX это истинный путь для Linux!

    А утонуть должен Exec-Shield: https://fedoraproject.org/wiki/Security_Features#Exec-Shield

     
     
  • 8.133, Аноним (-), 13:44, 13/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    dep wx nx ssp aslr aslr-ng это инженерно-отладочная пошатываемая штука, кормящая... текст свёрнут, показать
     
  • 8.134, Аноним (-), 14:08, 13/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    PaX flags are exceptions to these policies They let applications run normally ... текст свёрнут, показать
     

  • 1.66, erthink (ok), 17:16, 11/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Стало удобнее писать переносимые трояны, вирусы и (может быть) руткиты ;)
     
     
  • 2.76, Аноним (59), 17:58, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Не знаю как с переносимостью, но JIT в ядре OS это потенциальная дыра для руткита которая не закрывается классической моделью защиты пямяти в OS: все что исполняется не должно изменятся, а что изменяется не должно исполнятся!!!
     
     
  • 3.91, erthink (ok), 19:42, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Да, собственно это имелось в виду, но в более вульгарной формулировке.
     
  • 3.105, Аноним (105), 23:08, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    JIT и W^X не исключают друг друга. В нормальных программах с JITом давно уже W^X используется.
     
     
  • 4.127, Аноним (127), 15:56, 12/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Исключают!

    https://www.opennet.dev/openforum/vsluhforumID3/124211.html#82

    Строгая защита памяти исключает JIT!!!

    Примеры OS со строгой защитой памяти: Linux+PaX, NetBSD, Apple OS X.

     
     
  • 5.132, Аноним (132), 07:36, 13/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    https://en.wikipedia.org/wiki/Executable_space_protection
    В хр с 2003-го. В Нетке с 2004. В Опен с 2003, рандомизация наверное еще раньше. До всяких Линуксов
     
     
  • 6.148, Аноним (148), 17:33, 17/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    PaX был первым, с конца 90-тых, начала нулевых. NetBSD теорию и пример защиты памяти взял с PaX. По этому в NetBSD строгая защита памяти как и в Linux+PAX. Защита памяти в Linux была с первых версий, но после переезда Торвальдса в США исчезла ... тогда европейские разработчики сделали PaX отдельным, неофициальным патчем к ядру Linux.

    В OpenBSD Тео пошол по неправильному пути, оставив право защиты на совестм програмиста.. Зато в OpenBSD возможна некая реализация JIT.

    Мы здесь говорим о ОС на архмтектуре x86. Процессоры архитектуры PowePC, mips на аппаратном уровне имеют защиту памяти!

    Можно реализовывать защиту на уровне ядра OS, а можно аппаратно в процессоре выделять память или W или X.

     
  • 2.79, Аноним (79), 18:01, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    какие еще руткиты? в винде нет рута.
     
     
  • 3.81, Аноним (59), 18:07, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Зато есть вири работающие с привилегиями ядра винды == руткиты.
     
     
  • 4.92, Аноним (92), 20:00, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Привилегии рута и привилегии ядра - разные вещи.

    Ядро (что в Линуксе, что в венде) не ограничено в пермиссиях вообще, и может делать всё, что захочется без ограничений, в то время как рут ограничен тем, что ему дозволено делать через торчащие из ядра ручки.

     
     
  • 5.121, 1 (??), 11:07, 12/05/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Например
    # dd if=/dev/zero of=/dev/mem
     
  • 5.128, Аноним (127), 16:06, 12/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Вирусы работающие с привилегиями ядра OS принято называть руткитами.

    > загружаемые из пространства пользователя ...

    Оно разрешает менять прошивку жесткого диска, этот факт из новости уже удалили! Если перепрошить фирмварь жесткого диска, то это уже привилегии буткита. Буткиты имеют привилегии выше привилегий ядра OS.

     
  • 3.86, Аноним (145), 19:26, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А Administrator не рут?
     
     
  • 4.89, Аноним (92), 19:39, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, это примерно как создать аккаунт administrator в Линуксе и навыдавать ему разных пермиссий. От этого он рутом с UID 0 не станет.

    Ближайшая аналогия рута в вендовом манямирке - зарезервированный аккаунт SYSTEM, имеющий больше привилегий, чем дано админам, и под SYSTEM обычно не работают, хотя при большом желании можно.

     
  • 4.90, Аноним (90), 19:42, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    нет
    пользователь SYSTEM имеет большие права, чем админ
     
  • 2.104, Аноним (105), 23:04, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Нам об этом рассказывать не надо, это американскому суду будете позитивные показания давать.
     
     
  • 3.131, erthink (ok), 20:29, 12/05/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Нам об этом рассказывать не надо, это американскому суду будете позитивные показания
    > давать.

    Дела обстоят несколько иначе.

    Раньше американские вендоры покупали позитивный CVE-вазелин и конвертировали его в патчи для конечных пользователей (Windows Update и т.п.), а теперь они этого делать не могут из-за санкций.
    Т.е. формально им нельзя иметь договора чтобы получать инфу о 0-days до разглашения.

    Де-факто, "амеры" просто выстрелили себе в ногу, но рикошетом попало по всем пользователям всяческих "видовсов" и "цисок".

    Далее, теоретически конечно невозможно затащить кого-то в суд за то, что он не сделал, то что ему запретили.
    Практически же, примерно никто не сомневается, что по-любому виноваты будут "русские хакеры", за то что они есть, хайли лайкли, и ибо так очень удобно всех остальных держать за дураков :)

     
  • 2.139, Аноним (145), 15:38, 13/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >Стало удобнее писать переносимые трояны, вирусы и (может быть) руткиты ;)

    А зачем обычному пользователю давать возможность загружать BPF-программы?

     

  • 1.83, Плохой Танцор (?), 18:45, 11/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Интересно, что меашет использовать BPF для решения других задач, например тех, что решают драйверы?
     
     
  • 2.87, Аноним (145), 19:28, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, как бы, драйверы в машинных кодах решают свои задачи быстрее.
     
  • 2.100, Аноним (100), 21:09, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Как вариант есть такая штука называется безопасность.
     

  • 1.84, pda (ok), 19:08, 11/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    1. Embrace.
     
  • 1.95, Kuromi (ok), 20:13, 11/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну то есть сейчас как обычно Микрософт стырит хорошую (или не очень) идею из Линукса, а потом будет говорить "у нас самая лучшая ОС" ?
     
     
  • 2.99, Аноним (100), 21:09, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Если хомячки будут нести деньги за какую-нибудь другую идею они будут внедрять её. И тут важно смотреть не на результат, а на мотивацию им важно заработать побольше денег, а не внедрить что-то хорошее (или не очень).
     
  • 2.114, Аноним (108), 07:30, 12/05/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    все хорошие идеи Линукс стырил из *BSD и выдает за свои, включая и эту
     
     
  • 3.125, Псевдоним (??), 12:51, 12/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Но линукс и обратно отдает в *bsd патчи и совместно развиваются вон уже сколько лет, а микрософт возвращает только ножи в спину и стратегию EEE.
     
  • 3.143, Аноним (145), 12:52, 14/05/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Не стырил, а _законно_ взял. Ибо ваша лицензия разрешает брать.
     
     
  • 4.146, Аноним (-), 14:19, 14/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >> стырил из *BSD и выдает за свои, включая и эту
    > Не стырил, а _законно_ взял. Ибо ваша лицензия разрешает брать.

    Читать жопой она тоже не запрещает, чем некоторые анонимы опеннета активно пользуются.


     

  • 1.102, Аноним (102), 21:22, 11/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Обнищали. Уже даже тут ничего своего не могут.
     
     
  • 2.124, Псевдоним (??), 12:47, 12/05/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    *никогда не могли
    windows = xerox + os/2 (распил ibm мамочкой Билла и ее друзяшек) + dirty os
    office = купленные продукты у других компаний
    Микрософт всю жизнь либо воровала, либо зарабатывала на монополии от наворованного, все что не подходит под эти пункты у микрософта проваливалось.
     

  • 1.106, Аноним (106), 02:10, 12/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Костыли, винда в любом случае шлак с её изворотными путями доступа
     
     
  • 2.142, Аноним (145), 12:48, 14/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Во-во, представил, как скрипт eBPF нужно будет в реестре прописывать. А для начала, догадаться, где именно.
     

  • 1.118, Аноним (118), 10:02, 12/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/

    Microsoft это говно. Обсуждать тут нечего.
     
  • 1.122, svsd_val (ok), 12:20, 12/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    осталось подождать когда мелкомягкие выпилят своё ядро поставят линухкосове, либо целиком винду выпилят и скажут вот вам Влинуха ))))
     
     
  • 2.123, Псевдоним (??), 12:42, 12/05/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Скорее появится еще один линух несовместимый ни с какими другими линухами (если микрософт и способны на гениальное то только в реализации стратегии EEE) и не запускающий ничего без подписки мелкософта. Чекайте, еще аукнется линуксу такая дружба.
     

  • 1.147, Аноним (147), 23:30, 15/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Microsoft может сожрать все Linux сначала по одному дистрибутиву
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру