[[399005]]

對于Windows上的eBPF來說，現(xiàn)在依然是處于非常早期的階段，因為微軟才剛剛啟動這個項目。因此，很難了解開發(fā)的速度且官方還沒有公布時間表。在該項目的GitHub頁面上，微軟表示，其目的是 "為使用跨操作系統(tǒng)生態(tài)系統(tǒng)的通用鉤子和輔助工具的代碼創(chuàng)建源代碼兼容性"。

由于它能夠在Linux內(nèi)核中運行沙盒程序，而不需要改變內(nèi)核源代碼或加載內(nèi)核模塊，該技術對眾多安全應用來說是完美的。

eBPF是一項著名的技術，可以提供可編程性和敏捷性，特別是用于擴展操作系統(tǒng)內(nèi)核，用于DoS保護和可觀察性等用例。這個項目是一項正在進行的工作，它允許使用Linux生態(tài)系統(tǒng)中熟悉的現(xiàn)有eBPF工具鏈和API在Windows之上使用。也就是說，這個項目將現(xiàn)有的eBPF項目作為子模塊，并在其間添加一層，使其在Windows之上運行。

在關于該技術的FAQ中，該公司指出，"當HVCI被啟用時，eBPF程序在解釋模式下可以正常工作，但在使用JIT編譯時就不行了"。

關于Windows上的eBPF的更多信息可在項目的GitHub頁面上找到：

https://github.com/Microsoft/ebpf-for-windows