新的开源项目 eBPF for Windows,以使 eBPF 在 Windows 10 和 Windows Server 2016 及更高版本上工作
eBPF 是 kernel 3.15 中引入的新设计,将原先的 BPF 发展成一个指令集更复杂、应用范围更广的“内核虚拟机”,以提供更多的可编程性、可扩展性和敏捷性。为了防止注入的代码导致内核崩溃,eBPF 会对注入的代码进行严格检查,拒绝不合格的代码的注入。
ebpf for windows 采用了几个现有的 eBPF 开源项目,包括 IOVisor uBPF 和 PREVAIL 验证器,但并不是 eBPF 的分支。Windows 之上使用熟悉的 eBPF 工具链和应用编程接口(API)开发 eBPF 程序,并允许 eBPF 程序在内核模式下执行或作为一个用户模式保护的服务运行。目前,该项目托管于 GItHub 仓库中