C++, Rust, e o Windows Kernel: Onde a segurança ajuda e os limites ainda afetam

C++, Rust, e o Windows Kernel: Onde a segurança ajuda e os limites ainda afetam

C++, Rust, e o Windows Kernel: Onde a segurança ajuda e os limites ainda afetam

Introdução

O kernel do Windows é onde as convicções limpas do quadro branco vão para descobrir que devem aluguel à realidade. No trabalho comum de aplicação, uma equipe pode, às vezes, dar-se ao luxo de dar uma explicação vaga sobre o motivo pelo qual algo quebrou. No trabalho do kernel, explicações vagas tendem a se transformar em verificações de bugs, telas azuis, operadores irritados e sessões de depuração que fazem você se sentir como se a máquina estivesse pessoalmente decepcionada com sua educação.

É por isso que a conversa entre C++ e Rust em torno do kernel do Windows é importante. O trabalho de baixo nível do Windows força todas as reivindicações a sobreviver ao contato com limites IOCTL, regras IRQL, suposições de DMA, sincronização, disciplina vitalícia e ferramentas que ainda esperam que você se comporte como um adulto, mesmo que seu deck de arquitetura não o faça.

Rust merece seu impulso aqui. A segurança da memória não é falsa. Uma propriedade mais clara não é falsa. Superfícies de falha mais explícitas não são falsas. Se você está escrevendo código de sistema próximo do privilégio e a linguagem pode remover uma categoria inteira de bugs fáceis de criar, isso é uma séria vantagem de engenharia. As equipes C e C++ historicamente recriaram essa vantagem com disciplina, revisão e alguma quantidade de paranóia leve.

Mas o kernel do Windows não distribui prêmios por boas intenções. Ele recompensa as equipes que podem operar dentro do ecossistema que realmente existe: restrições WDK, interfaces baseadas em C, drivers legados, bases de código existentes, fluxos de trabalho WinDbg, regras de vida útil do objeto kernel, DMA e realidades de sincronização, e a questão dolorosamente importante de saber se toda a cadeia de depuração e implementação permanece compreensível quando algo falha na produção.

Essa última parte é onde muitas conversas da moda ficam estranhamente silenciosas. O trabalho do kernel precisa de código que seja compilado e de um driver que possa ser diagnosticado quando ele se comporta mal na máquina do cliente, dentro de uma imagem corporativa, ao lado de software hostil de terceiros ou após uma sequência de atualização que ninguém na equipe queria depurar à meia-noite. A realidade da entrega é tão importante quanto a semântica da linguagem aqui.

Portanto, a pergunta útil não é "Rust ou C++?" A questão útil é esta: onde Rust cria uma vantagem genuína, onde C++ permanece o padrão prático e como você projeta os limites para que o sistema se torne mais seguro em vez de meramente mais autocongratulatório?

Por que o Windows Kernel não é um playground de sistemas genéricos

As pessoas costumam falar sobre programação de sistemas como se cada domínio de baixo nível compartilhasse um clima emocional. O kernel do Windows tem seu próprio clima operacional. O kernel do Windows é um ambiente operacional com contratos rígidos e maneiras muito caras de descobrir que você os entendeu mal.

IRQL existe. Existem caminhos de despacho. Existem restrições de paginação. Existem pilhas de dispositivos. Existem contratos IOCTL. Os erros de sincronização não permanecem teóricos por muito tempo. Uma lógica de limpeza deficiente pode corromper o estado, bloquear o caminho de um dispositivo ou travar uma máquina que outra pessoa teria preferido que continuasse funcionando.

Isto significa que o kernel pune duas ilusões opostas. A primeira ilusão é que todo trabalho de baixo nível deveria permanecer em C ou C++ para sempre, porque é assim que o mundo sempre foi conectado. A segunda ilusão é que usar Rust transforma automaticamente o trabalho em vitória moral. Ambas são formas preguiçosas de evitar o verdadeiro problema de design.

O verdadeiro problema é moldar o sistema de modo que o limite mais perigoso seja pequeno, mensurável, depurável e claramente identificado. Às vezes, isso significa que C++ ainda é o melhor ajuste prático porque o modelo do driver, o código existente, as ferramentas e a experiência da equipe apontam para isso. Às vezes, significa que um componente Rust realmente reduz o risco e aumenta a clareza. Na maioria das vezes, isso significa que a resposta é confusa e apenas os adultos se sentem confortáveis ​​com respostas mistas.

O trabalho do kernel também amplifica a fraqueza organizacional. Se uma equipe não documentar invariantes, se a revisão for fraca, se a depuração do conhecimento estiver na cabeça de uma pessoa ou se a higiene da liberação for tratada como papelada opcional, o código de baixo nível ampliará essa desordem rapidamente. A linguagem não pode proteger totalmente uma equipe da cultura caótica da engenharia. Isso pode ajudar. Não pode substituir a disciplina.

Onde Rust realmente ajuda no Windows-trabalho de baixo nível

Rust ajuda mais quando remove a confusão do código que não tem o direito de ser confuso. Análise de limites, higiene da máquina de estado, propriedade explícita, padrões de limpeza mais claros e uma disciplina mais rígida em torno do que pode ser confundido ou sobreviver a todas as vitórias significativas. Em sistemas adjacentes ao kernel ou com muitos drivers, isso é importante porque bugs de baixo nível raramente são poéticos. Eles são repetitivos, estruturalmente familiares e humilhantes de uma forma que as equipes de engenharia passaram décadas fingindo fazer parte do romance.

Rust é especialmente atraente em componentes limitados onde a interface pode ser mantida explícita. Camadas de utilitários, módulos auxiliares, analisadores bem definidos, alguns companheiros de modo de usuário para drivers, ferramentas internas e partes cuidadosamente isoladas do kernel ou da lógica do driver podem se beneficiar das restrições da linguagem se a história de engenharia circundante for madura o suficiente para suportá-los.

Também ajuda culturalmente. As equipes que trazem Rust para um ambiente de sistemas Windows geralmente obtêm conversas mais saudáveis ​​sobre tempos de vida, alias, limpeza e o que exatamente um limite promete. Isso é útil mesmo quando a arquitetura final permanece híbrida. As línguas moldam as discussões e, por vezes, uma discussão melhor já representa um progresso material.

Há outra vantagem prática: Rust pode facilitar a entrega de componentes de escopo limitado. Se o modelo de propriedade for visível e as interfaces forem mais estreitas, os futuros engenheiros terão mais chances de alterar o código sem precisar absorver o conhecimento tribal apenas para evitar detoná-lo. No trabalho adjacente ao kernel, esse tipo de manutenção não é acadêmico. É assim que as equipes mantêm os sistemas rígidos saudáveis ​​ao longo do tempo.

Mas nada disso significa que o kernel do Windows seja agora um playground onde as equipes deveriam reescrever com entusiasmo teológico. Uma vitória limitada ainda é uma vitória limitada. Essa distinção é a forma como a engenharia séria evita se tornar uma marca de estilo de vida muito cara.

Onde C++ ainda mantém terreno real

C++ permanece forte no funcionamento do kernel e do driver do Windows por razões que são teimosamente práticas. Há um enorme conjunto de códigos de driver existentes, amostras, padrões, conhecimentos de depuração e histórico de integração de fornecedores construídos em torno de C e C++. As equipes que trabalham neste espaço raramente partem do zero. Eles estão herdando drivers, cadeias de filtros, contratos de dispositivos, clientes de modo de usuário, C++ legados], suposições de construção e hábitos operacionais que já estão C++ moldados mesmo quando o código é meio C e emocionalmente 100% endividado.

A história das ferramentas também é importante. WinDbg, amostras WDK, hábitos KMDF e WDM, fluxos de trabalho de verificação de driver, interpretação de símbolos, investigação de crash-dump e a cultura de depuração mais ampla em torno do trabalho do kernel Windows ainda têm raízes profundas no mundo nativo existente. Quando uma equipe está sob pressão, a maturidade do diagnóstico não é um benefício decorativo. É assim que o trabalho evita se tornar uma temporada de arqueologia realizada em público.

Há também o problema da integração. Os drivers geralmente convivem com códigos antigos, auxiliares de modo de usuário, lógica de instalação existente, fornecedores SDKs ou ferramentas de segurança que já estão vinculadas às suposições C e C++. C++ não é automaticamente melhor em abstrato. Muitas vezes é melhor no imediato porque o sistema circundante já está treinado para falar isso.

Isso não invalida Rust. Significa simplesmente que o ónus da prova muda dependendo da localização do componente. Um novo módulo isolado é um argumento. Uma pilha de drivers encadeada por anos de suposições nativas é outra. Equipes sérias param de fingir que se trata da mesma situação.

Outro fator é a confiança operacional. Muitas equipes de drivers do Windows já sabem como ler os crash dumps, validar os símbolos, reproduzir a falha e enviar um hotfix em um primeiro mundo do C++. Esse músculo operacional parece simples e é caro para substituir. Uma migração que melhora a elegância do código e ao mesmo tempo enfraquece a resposta a incidentes não é uma vitória líquida.

A superfície insegura não desaparece. Ele se move.

Este é o ponto mais importante de toda a conversa. O comportamento inseguro não desaparece porque uma parte da base de código está escrita em Rust. Ele se muda. Ele se reúne em FFI bordas, limites de buffer, costuras de sincronização, caminhos de alocação, contratos de dispositivos e locais onde o modelo operacional ainda é definido pelo próprio Windows e não pelas sutilezas de uma única linguagem.

É por isso que as equipes podem fazer uma má negociação se celebrarem o idioma muito cedo e o limite muito tarde. Um módulo Rust que cruza de forma descuidada o código do driver legado ainda pode herdar o antigo caos, além de uma nova taxa de integração. Um driver C++ que isola sua superfície perigosa, documenta seus invariantes, mantém a semântica IOCTL enfadonha e permanece profundamente testável pode criar menos surpresas totais do que uma arquitetura mais moderna que ampliou os limites enquanto narra sua virtude com muita confiança.

A questão do design adulto é, portanto, menor e mais nítida. Qual módulo pode ser isolado? Qual interface pode permanecer estável? Quais regras de propriedade podem ser declaradas com clareza suficiente para que as diferenças de idioma não se tornem confusão em tempo de execução? Qual caminho de depuração ainda funcionará quando o sistema já estiver pegando fogo e ninguém estiver com disposição para nuances filosóficas?

Essas perguntas não são anti-Rust. Eles são pró-sobrevivência.

Eles também são pró-cooperação. Um limite de driver documentado bem o suficiente para que vários engenheiros possam raciocinar sobre a redução da taxa de heroísmo. Isso torna a revisão do código mais forte. Isso torna as auditorias menos teatrais. Isso torna as correções futuras menos dependentes da memória e mais dependentes da verdade explícita da engenharia. Isso é importante em qualquer sistema, mas é especialmente importante em software privilegiado.

Como é bom

Uma boa engenharia de kernel Windows não parece heróica. Parece calmo.

O caminho arriscado é conhecido. O contrato IOCTL é explícito. A história da simultaneidade é entediante da melhor maneira. As suposições de propriedade são documentadas. A análise de crash-dump é possível. O plano de implementação não é um desafio. O limite do driver é estreito o suficiente para que alguém fora da equipe de implementação original ainda possa entender o que é seguro mudar e o que é seguro deixar de lado.

Se Rust estiver sendo usado, deve ser óbvio o porquê. Não deveria estar lá porque “futuro” estava escrito em um slide em uma fonte forte. Deveria estar lá porque um componente definido se beneficia genuinamente das restrições da linguagem e porque a equipe pode apoiar a depuração, a construção e a história operacional que se segue a essa escolha.

Se C++ permanecer no caminho crítico, isso não deve ser defendido como destino. Deve ser defendido com evidências: maturidade das ferramentas, custo de integração, restrições do driver, experiência da equipe e uma visão medida de onde a instabilidade realmente viria se o componente fosse movido. C++ deveria estar no projeto porque ganhou o assento, porque as evidências o apoiam.

As equipes de kernel mais fortes também sabem que a calma técnica faz parte da saúde da entrega. Quando o código, as ferramentas e os contratos são legíveis, o trabalho para de depender da adrenalina. Isso torna o sistema mais seguro a longo prazo porque menos alterações estão a ser feitas sob pânico interpretativo.

Casos práticos que valem a pena resolver primeiro

Limpeza de limite IOCTL

Muitos sistemas com muitos drivers são menos ameaçados por seu código mais inteligente do que por limites de contrato desleixados. Limpar o manuseio, a validação, o controle de versão da estrutura e as suposições do usuário para o kernel do IOCTL geralmente produz resultados mais seguros e mais rápidos do que reescritas ambiciosas.

Isso ocorre porque os erros do IOCTL não são erros isolados. Eles contaminam toda a relação de confiança entre o modo usuário e o modo kernel. Quando um limite é vago, torna-se mais difícil raciocinar sobre cada decisão posterior.

Endurecimento estreito do núcleo do driver

Um pequeno núcleo condutor com invariantes explícitos e melhor disciplina de propriedade geralmente vale mais do que uma enorme migração teórica. Às vezes, esse endurecimento acontece em C++. Às vezes, torna possível um futuro componente Rust. De qualquer forma, a recompensa é real.

Também é mensurável. As assinaturas de falhas ficam mais limpas. A revisão fica mais fácil. As conversas de verificação ficam mais curtas. Quando o progresso pode ser demonstrado nesses termos, as equipes ficam menos tentadas a perseguir uma reescrita dramática apenas para um encerramento emocional.

Complementos e ferramentas do modo de usuário

É aqui que Rust geralmente brilha sem drama. Ferramentas de diagnóstico, utilitários de reprodução, validadores de configuração, analisadores de captura ou processos auxiliares controlados podem se tornar mais claros e seguros sem arrastar o caminho mais frágil do kernel para uma nova religião de integração antes que o sistema esteja pronto.

É também aqui que as organizações muitas vezes recuperam primeiro o valor mais prático, porque ferramentas melhores melhoram todas as investigações futuras, todas as implementações e todas as análises pós-incidentes. Ferramentas envolventes mais fortes tornam a equipe central de engenharia mais saudável, o que é um resultado real de sistemas, mesmo que nunca apareça em um benchmark de conferência.

Laboratório prático: decodifique um Windows IOCTL de maneira chata

O kernel do Windows pune equipes que tratam códigos de controle como números inteiros decorativos. Vamos construir um pequeno utilitário que decodifica um valor IOCTL para que o limite deixe de ser misterioso.

A questão não é o truque aritmético em si. O objetivo é praticar a transformação da estrutura implícita em linguagem de engenharia explícita. Muita dor de baixo nível vem das equipes que transmitem valores codificados como se todos soubessem naturalmente o que eles significam.

main.cpp

#include <cstdint>
#include <iomanip>
#include <iostream>

struct IoctlParts {
    std::uint32_t device_type;
    std::uint32_t access;
    std::uint32_t function;
    std::uint32_t method;
};

IoctlParts decode_ioctl(std::uint32_t code) {
    return IoctlParts{
        (code >> 16) & 0xFFFFu,
        (code >> 14) & 0x3u,
        (code >> 2) & 0x0FFFu,
        code & 0x3u
    };
}

int main() {
    constexpr std::uint32_t ioctl = 0x222004;
    const auto parts = decode_ioctl(ioctl);

    std::cout << "IOCTL 0x" << std::hex << std::uppercase << ioctl << "\n";
    std::cout << "device_type=0x" << parts.device_type << "\n";
    std::cout << "access=0x" << parts.access << "\n";
    std::cout << "function=0x" << parts.function << "\n";
    std::cout << "method=0x" << parts.method << "\n";
}

Construir

Em Windows com MSVC:

cl /O2 /std:c++20 main.cpp
.\main.exe

Em Linux ou macOS com um compilador multiplataforma:

g++ -O2 -std=c++20 -o ioctl_decode main.cpp
./ioctl_decode

O que isso te ensina

A questão não é a aritmética. A questão é que o trabalho de baixo nível Windows fica mais fácil no momento em que a estrutura oculta deixa de ser tratada como mágica. Decodifique o limite, nomeie os campos, torne o contrato visível e, de repente, a conversa de depuração fica mais curta e menos religiosa.

Se você estender a ferramenta para rotular métodos comuns e modos de acesso, você também começará a construir um hábito que generaliza bem: todo contrato opaco do kernel se torna menos perigoso quando é renderizado em termos chatos e explícitos que o resto da equipe pode inspecionar.

Tarefas de teste para entusiastas

  1. Recrie o mesmo decodificador em Rust e compare o comprimento do código com a clareza do limite que você exporia ao restante do conjunto de ferramentas do driver.
  2. Estenda o decodificador para imprimir nomes legíveis para METHOD_BUFFERED, METHOD_IN_DIRECT e valores relacionados.
  3. Adicione um analisador para uma lista de códigos IOCTL de um arquivo de texto e classifique-os por tipo de dispositivo e função.
  4. Crie um pequeno conjunto de entrada fuzz de valores IOCTL aleatórios e verifique se seu decodificador permanece estável e enfadonho.
  5. Adicione uma suposição de limite intencionalmente desleixada e, em seguida, inspecione a rapidez com que um atalho "inofensivo" transforma toda a ferramenta em uma mentirosa.

Resumo

Rust é uma melhoria real na engenharia de baixo nível do Windows quando é usado para reduzir a confusão, esclarecer a propriedade e reduzir certas categorias de bugs evitáveis. C++ continua sendo um padrão real e muitas vezes justificado quando o trabalho está vinculado a drivers existentes, ferramentas existentes, cultura de depuração existente e caminhos operacionais que ainda vivem em um ecossistema fortemente nativo.

A verdadeira tarefa não é escolher um vencedor moral. A verdadeira tarefa é criar limites que permaneçam compreensíveis quando o sistema já está sob pressão. No trabalho do kernel, essa é a diferença entre engenharia e otimismo.

As equipes que lidam bem com isso não confundem modernidade com maturidade. Eles usam a linguagem, as ferramentas e os hábitos operacionais que tornam todo o sistema mais governável. Este é um resultado menos teatral do que um sermão abrangente, mas é também aquele que tende a sobreviver ao contacto com máquinas reais.

Referências

  1. Windows documentação dos drivers: Windows
  2. Definindo códigos de controle de E/S: https://learn.microsoft.com/en-us/windows-hardware/drivers/kernel/defining-i-o-control-codes
  3. Gerenciando prioridades de hardware e IRQL: https://learn.microsoft.com/en-us/windows-hardware/drivers/kernel/managing-hardware-priorities
  4. Visão geral do desenvolvimento do driver WDF: https://learn.microsoft.com/en-us/windows-hardware/drivers/wdf/
  5. Windows documentação de ferramentas de depuração: Windows
  6. Inseguro Rust: Rust
Philip P.

Philip P., CTO

Artigos relacionados

Por que C++ ainda supera Rust na era da IA

Por que C++ ainda supera Rust na era da IA

Uma comparação fundamentada de C++ e Rust para o trabalho de sistemas da era da IA. Ele explica onde C++ ainda ganha em ferramentas, profundidade de

Usando bibliotecas de código aberto para redes neurais em C++

Usando bibliotecas de código aberto para redes neurais em C++

Um guia prático para as principais bibliotecas C++ para inferência e implantação de redes neurais. Ele mostra onde ONNX Runtime, LibTorch, OpenVINO,

C++, Rust e trocas criptográficas descentralizadas: aplicabilidade e eficiência

C++, Rust e trocas criptográficas descentralizadas: aplicabilidade e eficiência

Uma comparação técnica de onde C++ e Rust se encaixam em pilhas de exchanges descentralizadas. Ele mapeia trabalhos de contratos inteligentes,

Voltar aos blogs

Contato

Comece a conversa

Algumas linhas claras são suficientes. Descreva o sistema, a pressão, a decisão que está bloqueada. Ou escreva diretamente para midgard@stofu.io.

0 / 10000
Nenhum arquivo escolhido

Prefere uma chamada?