Windows网络驱动、NDIS驱动(微端口驱动、中间层驱动、协议驱动)、TDI驱动(网络传输层过滤)、WFP(Windows Filtering Platfrom))
catalog
0.引言
1.Windows 2000網(wǎng)絡(luò)結(jié)構(gòu)和OSI模型
2.NDIS驅(qū)動(dòng)
3.NDIS微端口驅(qū)動(dòng)編程實(shí)例
4.NDIS中間層驅(qū)動(dòng)編程實(shí)例
5.TDI驅(qū)動(dòng)
6.TDI驅(qū)動(dòng)
7.TDI的過濾框架
8.WFP(Windows Filtering Platform windows過濾平臺(tái))
0.引言
最早出現(xiàn)的網(wǎng)絡(luò)驅(qū)動(dòng)應(yīng)該是網(wǎng)卡驅(qū)動(dòng),這是Windows的下進(jìn)行網(wǎng)絡(luò)安全攻防常見的需求,為了進(jìn)一步分割應(yīng)用程序的網(wǎng)絡(luò)數(shù)據(jù)傳輸和下層協(xié)議直到下層硬件的關(guān)系,又出現(xiàn)了協(xié)議驅(qū)動(dòng),后來微軟和硬件商聯(lián)合指定了NDIS標(biāo)準(zhǔn),作為從硬件到協(xié)議的內(nèi)核驅(qū)動(dòng)程序的調(diào)用接口標(biāo)準(zhǔn),而協(xié)議驅(qū)動(dòng)和應(yīng)用層的API之間,則出現(xiàn)了TDI接口,即從上到下的關(guān)系是
應(yīng)用層API -> TDI ->協(xié)議驅(qū)動(dòng) -> NDIS -> 下層硬件
0x1: 網(wǎng)卡驅(qū)動(dòng)
?網(wǎng)卡驅(qū)動(dòng)程序(Device Driver)全稱為"設(shè)備驅(qū)動(dòng)程序",是一種可以使計(jì)算機(jī)中央處理器:CPU控制和使用設(shè)備的特殊程序,相當(dāng)于硬件的接口,操作系統(tǒng)通過這個(gè)接口,控制硬件設(shè)備的工作。所有的硬件都要安裝驅(qū)動(dòng)程序,沒有驅(qū)動(dòng)程序的硬件是運(yùn)行不了的,就像一輛有輪胎但是沒有傳動(dòng)軸的汽車一樣跑不起來,控制不了。
假如某設(shè)備的驅(qū)動(dòng)程序未能正確安裝,便不能正常工作。網(wǎng)卡驅(qū)動(dòng)程序就是CPU控制和使用網(wǎng)卡的程序
網(wǎng)卡驅(qū)動(dòng)的問題在于它總是一個(gè)整體的形式存在,無法提供靈活的Hook、Filter、Callback接口,無法實(shí)現(xiàn)除了操作硬件之外更高層次的數(shù)據(jù)處理需求。
0x2:上層協(xié)議驅(qū)動(dòng)
上層協(xié)議驅(qū)動(dòng)應(yīng)用于TDI接口或其他向用戶提供服務(wù)的特定應(yīng)用接口。例如驅(qū)動(dòng)調(diào)用NDIS分配包,向包中拷貝數(shù)據(jù)和向底層發(fā)送包。它也在它的底層提供協(xié)議接口,來接收下層驅(qū)動(dòng)發(fā)送來的包。
0x3:中間協(xié)議驅(qū)動(dòng)
中間協(xié)議驅(qū)動(dòng)接口位于上層協(xié)議驅(qū)動(dòng)和微端口驅(qū)動(dòng)之間。對(duì)于上層傳輸驅(qū)動(dòng)程序來說,中間驅(qū)動(dòng)看起來像是微端口驅(qū)動(dòng)。對(duì)微端口驅(qū)動(dòng)來說,看起來像是協(xié)議驅(qū)動(dòng)。使用中間協(xié)議驅(qū)動(dòng)的主要是為了傳輸媒質(zhì),存在于對(duì)于傳輸驅(qū)動(dòng)未知和微端口管理之間的新的媒質(zhì)類型
0x4:基于WDK的windows內(nèi)核驅(qū)動(dòng)入門編程
首先需要下載WDK(windows Driver Kit),WDK已經(jīng)自帶所有需要的頭文件、庫、C/C++語言及匯編語言的編譯器、鏈接器。需要注意的是,因?yàn)檫@并不是應(yīng)用程序編程,所有所有的Win32 API函數(shù)都不能使用,部分C Runtime函數(shù)也不能使用,但是文檔中有說明記錄的函數(shù)都可以使用
first.c
#include <ntddk.h>//提供Unload函數(shù),讓驅(qū)動(dòng)程序能動(dòng)態(tài)卸載,方便調(diào)試 NTSTATUS DriverUnload(PDRIVER_OBJECT DriverObject) {DbgPrint("DriverUnload\n");return STATUS_SUCCESS; }//DriverEntry入口函數(shù),相當(dāng)于main NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject, PUNICODE_STRING RegistryPath) {DgbPrint("Hello World\n");//設(shè)置一個(gè)卸載函數(shù),便于這個(gè)函數(shù)退出DriverObject->DriverUnload = DriverUnload;return STATUS_SUCCESS; }makefile
!IF 0 Copyright (C) Microsoft Corporation, 1999 - 2002 Module Name:makefile. Notes:DO NOT EDIT THIS FILE!!! Edit .\sources. if you want tot add a new source fileto this component. This file merely indirects to the real make filethat is shared by all the components of Windows NT (DDK) !ENDIF !INCLUDE $(NTMAKEENV)\makefile.defSOURCES
TARGETNAME=first TARGETTYPE=DRIVER SOURCES=first.c菜單->windows driver kits->wdk版本->build environment->windows server 2003->launch windows->x64 Checked Build Environment
pushd C:\Documents and Settings\Administrator\桌面\網(wǎng)絡(luò)驅(qū)動(dòng)編程\first
build
net start first
Relevant Link:
http://book.51cto.com/art/200905/125691.htm http://www.installsetupconfig.com/win32programming/windowsdriverkitswdk15_6.html http://blog.chinalxnet.com/?uid-2-action-viewspace-itemid-26 http://guides.wmlcloud.com/technology/windows-7---kernel-mode-installation-and-build---wdk-build-tools,-build-environment,-building-a-project-.aspx1. Windows 2000網(wǎng)絡(luò)結(jié)構(gòu)和OSI模型
Windows 2000網(wǎng)絡(luò)結(jié)構(gòu)是以國際標(biāo)準(zhǔn)化組織(ISO)制定的七層網(wǎng)絡(luò)模型為基礎(chǔ)的,1978年,ISO制定的開放式系統(tǒng)(OSI)參考模型,將網(wǎng)絡(luò)描述為一系列的協(xié)議層,在每個(gè)協(xié)議層中完成一系列的特定功能。每一層都向上一層提供明確的服務(wù),同時(shí)將本層服務(wù)的實(shí)現(xiàn)封裝起來。一個(gè)在相鄰層之間完善的接口定義了下層對(duì)上層所提供的服務(wù)以及如何訪問這些服務(wù)(應(yīng)用層、表示層、會(huì)話層、傳輸層、網(wǎng)絡(luò)層、鏈路層、物理層、物理介質(zhì)層)
Windows 2000的網(wǎng)絡(luò)驅(qū)動(dòng)程序?qū)崿F(xiàn)了這個(gè)網(wǎng)絡(luò)結(jié)構(gòu)的下面四層
0x1: 物理層
電氣電子工程師協(xié)會(huì)(IEEE)將該層進(jìn)一步分成了兩個(gè)子層,LLC和MAC
1.LLC子層(邏輯鏈路控制子層)用于將數(shù)據(jù)幀從一個(gè)結(jié)點(diǎn)無錯(cuò)的傳輸?shù)搅硪粋€(gè)結(jié)點(diǎn)。LLC子層用來建立和終止邏輯鏈接,控制幀流,對(duì)幀排序,接收幀,并且對(duì)沒有被接收的幀進(jìn)行重發(fā)。LLC子層使用幀應(yīng)答和幀的重發(fā)為經(jīng)過鏈路層的上層提供了真正的無錯(cuò)發(fā)送,在Windows 2000網(wǎng)絡(luò)結(jié)構(gòu)中,邏輯鏈路控制子層在傳輸驅(qū)動(dòng)程序中實(shí)現(xiàn)
2.MAC子層(介質(zhì)訪問控制子層)控制物理介質(zhì)的訪問,檢查幀的錯(cuò)誤,并且管理接收幀的地址認(rèn)證,介質(zhì)訪問控制子層則在網(wǎng)絡(luò)接口卡(NIC)中實(shí)現(xiàn),NIC由一個(gè)名為NIC驅(qū)動(dòng)程序的設(shè)備驅(qū)動(dòng)程序軟件控制。Windows 2000的附帶了許多常用的NIC的驅(qū)動(dòng)程序
0x3:網(wǎng)絡(luò)層
這一層控制著子網(wǎng)的運(yùn)作,它基于以下因素決定數(shù)據(jù)的物理路徑
1.網(wǎng)絡(luò)狀況
2.服務(wù)優(yōu)先權(quán)
3.其他因素,包括路由、流量控制、幀的分解和重組、邏輯到物理地址的映射、用戶賬號(hào)
0x4:傳輸層
這一層確保信息傳送的無錯(cuò)傳輸,連續(xù)傳輸和不丟失或不重復(fù)。它使得上層協(xié)議與上層協(xié)議之間或與它同層的協(xié)議之間通訊不關(guān)心數(shù)據(jù)的傳輸。傳輸層所在的協(xié)議棧至少應(yīng)包括一個(gè)可靠的網(wǎng)絡(luò)層,或在邏輯鏈路控制子層中提供一個(gè)虛電路。例如,因?yàn)閃indows 2000 NetBEUI傳輸驅(qū)動(dòng)程序包括一個(gè)與OSI兼容的LLC子層,它的傳輸層的功能就很小。如果協(xié)議棧不包括LLC子層,并且網(wǎng)絡(luò)層不可靠,并且/或者支持自帶地址信息(例如TCP/IP的IP層或NWLINK的IPX層),那么傳輸層應(yīng)能進(jìn)行幀的順序控制和幀的響應(yīng),同時(shí)要對(duì)未響應(yīng)幀進(jìn)行重發(fā)
在Windows 2000網(wǎng)絡(luò)結(jié)構(gòu)中,邏輯鏈路層,物理層和傳輸層都是通過名為傳輸驅(qū)動(dòng)程序的軟件實(shí)現(xiàn)的,它有時(shí)也稱作協(xié)議,協(xié)議驅(qū)動(dòng)程序或協(xié)議模塊。Windows 2000附帶了TCP/IP,IPX/SPX,NetBEUI和AppleTalk傳輸驅(qū)動(dòng)程序。
2.NDIS驅(qū)動(dòng)
0x1:簡(jiǎn)介
NDIS是Network Driver Interface Specification,即網(wǎng)絡(luò)驅(qū)動(dòng)接口規(guī)范。NDIS的主要目的就是為NIC(網(wǎng)絡(luò)接口卡,Network Interface Cards)制定出標(biāo)準(zhǔn)的API接口。MAC(介質(zhì)訪問控制,Media Access Controller)設(shè)備驅(qū)動(dòng)封裝了所有的NIC硬件 實(shí)現(xiàn),這樣一來所有的使用相同介質(zhì)的NIC就可以通過通用的編程接口被訪問
NDIS同時(shí)也提供一個(gè)函數(shù)庫(有時(shí)也稱作wrapper),這個(gè)庫中的函數(shù)可以被MAC驅(qū)動(dòng)調(diào)用,也可以被高層的協(xié)議(例如TCP/IP)驅(qū)動(dòng)調(diào)用。這些wrapper函數(shù)使得MAC驅(qū)動(dòng)和協(xié)議驅(qū)動(dòng)的開發(fā)變得更加容易
NDIS(Network Driver Interface Specification)是網(wǎng)絡(luò)驅(qū)動(dòng)程序接口規(guī)范的簡(jiǎn)稱。它橫跨傳輸層、網(wǎng)絡(luò)層和數(shù)據(jù)鏈路層,定義了網(wǎng)卡或網(wǎng)卡驅(qū)動(dòng)程序與上層協(xié)議驅(qū)動(dòng)程序之間的通信接口規(guī)范,屏蔽了底層物理硬件的不同,使上層的協(xié)議驅(qū)動(dòng)程序可以和底層任何型號(hào)的網(wǎng)卡通信。
NDIS為網(wǎng)絡(luò)驅(qū)動(dòng)程序創(chuàng)建了一個(gè)完整的開發(fā)環(huán)境,只需調(diào)用NDIS函數(shù),而不用考慮操作系統(tǒng)的內(nèi)核以及與其他驅(qū)動(dòng)程序的接口問題,從而使得網(wǎng)絡(luò)驅(qū)動(dòng)程序可以從與操作系統(tǒng)的復(fù)雜通訊中分離,極大地方便了網(wǎng)絡(luò)驅(qū)動(dòng)程序的編寫。另外,利用NDIS的封裝特性,可以專注于一層驅(qū)動(dòng)的設(shè)計(jì),減少了設(shè)計(jì)的復(fù)雜性,同時(shí)易于擴(kuò)展驅(qū)動(dòng)程序棧
NDIS支持三種類型的網(wǎng)絡(luò)驅(qū)動(dòng)程序
1.網(wǎng)卡驅(qū)動(dòng)程序(NICdrivers):微端口驅(qū)動(dòng)程序
網(wǎng)卡驅(qū)動(dòng)程序是網(wǎng)卡與上層驅(qū)動(dòng)程序通信的接口,它負(fù)責(zé)接收來自上層的數(shù)據(jù)包,或?qū)?shù)據(jù)包發(fā)送到上層相應(yīng)的驅(qū)動(dòng)程序,同時(shí)它還完成處理中斷等工作
2.中間驅(qū)動(dòng)程序(InterMediateProtocolDrivers)
中間驅(qū)動(dòng)程序位于網(wǎng)卡驅(qū)動(dòng)程序和協(xié)議驅(qū)動(dòng)程序之間,它向上提供小端口(Minport)函數(shù)集,向下提供協(xié)議(protocol)函數(shù)集
? ? 1) 因此對(duì)于上層驅(qū)動(dòng)程序而言,它是小端口驅(qū)動(dòng)程序
? ? 2) 對(duì)于底層的驅(qū)動(dòng)程序,它是協(xié)議驅(qū)動(dòng)程序
3.協(xié)議驅(qū)動(dòng)程序(Upper Level Protocol Drivers)
協(xié)議驅(qū)動(dòng)程序執(zhí)行具體的網(wǎng)絡(luò)協(xié)議(傳輸層),如IPX/SPX、TCP/IP等。協(xié)議驅(qū)動(dòng)程序?yàn)閼?yīng)用層客戶程序提供服務(wù),接收來自網(wǎng)卡或中間驅(qū)動(dòng)程序的信息
自上而下的關(guān)系為
上層驅(qū)動(dòng)程序(協(xié)議驅(qū)動(dòng)程序) -> 中間驅(qū)動(dòng)程序 -> 網(wǎng)卡驅(qū)動(dòng)程序(NICdrivers) -> 網(wǎng)卡
為了更好地支持?jǐn)U展性,網(wǎng)絡(luò)驅(qū)動(dòng)模型的每一層都定義了對(duì)外公開的公共接口,與它相連接的上層或者下層驅(qū)動(dòng)模型不必關(guān)系它的內(nèi)核如何實(shí)現(xiàn),而只要根據(jù)它所提供的公共接口完成相應(yīng)的工作即可,各個(gè)層級(jí)之間按照預(yù)設(shè)好的接口上下連接,協(xié)同工作,緊密相連
NDIS定義了網(wǎng)卡或網(wǎng)卡驅(qū)動(dòng)程序與上層協(xié)議驅(qū)動(dòng)程序之間的通信接口規(guī)范,它屏蔽了底層物理硬件的不同,使上層的協(xié)議驅(qū)動(dòng)程序可和底層任何型號(hào)的網(wǎng)卡通信
0x2: 網(wǎng)卡驅(qū)動(dòng)程序(NICdrivers):微端口驅(qū)動(dòng)程序
一個(gè)NDIS微端口驅(qū)動(dòng)程序(也叫微端口NIC驅(qū)動(dòng)程序)有兩個(gè)基本功能
1.管理一個(gè)網(wǎng)絡(luò)接口卡(NIC),包括通過NIC發(fā)送和接收數(shù)據(jù)
2.與高層驅(qū)動(dòng)程序相接,例如中間層驅(qū)動(dòng)程序和傳輸協(xié)議驅(qū)動(dòng)程序
一個(gè)微端口驅(qū)動(dòng)程序與它的NIC通信,并且通過NDIS庫與高層驅(qū)動(dòng)程序通信。NDIS庫對(duì)外提供了一整套的函數(shù)(NdisXXX 函數(shù)),這些函數(shù)封裝了微端口需要調(diào)用的所有操作系統(tǒng)函數(shù),同時(shí),微端口必須向外提供一組入口(MiniportXxx函數(shù)),使NDIS可以為了完成自己或高層驅(qū)動(dòng)程序的任務(wù)而訪問微端口
0x3: 中間驅(qū)動(dòng)程序(InterMediateProtocolDrivers)
中間層驅(qū)動(dòng)程序一般位于微端口驅(qū)動(dòng)程序和傳輸協(xié)議驅(qū)動(dòng)程序之間,因?yàn)樗隍?qū)動(dòng)程序?qū)咏Y(jié)構(gòu)的中間位置,所以既與上層協(xié)議驅(qū)動(dòng)程序通信又要與下層微端口驅(qū)動(dòng)程序通信,它是一種混合型驅(qū)動(dòng)程序,它把NDIS協(xié)議驅(qū)動(dòng)和NDIS小端口驅(qū)動(dòng)的功能結(jié)合在一起
1. 在它的下界,中間層驅(qū)動(dòng)程序提供了協(xié)議入口點(diǎn)(ProtocolXxx函數(shù)),NDIS調(diào)用這些函數(shù)傳遞下層微端口的請(qǐng)求。對(duì)于一個(gè)下層微端口驅(qū)動(dòng)程序,一個(gè)中間層驅(qū)動(dòng)程序這時(shí)就仿佛是一個(gè) 協(xié)議驅(qū)動(dòng)程序 2. 在它的上界,中間層驅(qū)動(dòng)程序提供了微端口的入口指針(MiniportXxx函數(shù)),一個(gè)或多個(gè)上層協(xié)議驅(qū)動(dòng)程序通過NDIS調(diào)用這些函數(shù)進(jìn)行通信。對(duì)于上層協(xié)議驅(qū)動(dòng)程序,一個(gè)中間層驅(qū)動(dòng)程序這時(shí)就仿佛是一個(gè)微端口驅(qū)動(dòng)程序對(duì)NDIS協(xié)議驅(qū)動(dòng)而言,它展示NDIS小端口的特征,讓NDIS協(xié)議驅(qū)動(dòng)以為自己是小端口驅(qū)動(dòng)而綁定它,對(duì)下層的NDIS小端口驅(qū)動(dòng)而言,它展示協(xié)議驅(qū)動(dòng)的特征,自己綁定在小端口驅(qū)動(dòng)上(在windows內(nèi)核網(wǎng)絡(luò)架構(gòu)中,協(xié)議驅(qū)動(dòng)是主動(dòng)綁定小端口驅(qū)動(dòng)的)
從理論上來講,中間層驅(qū)動(dòng)的個(gè)數(shù)是沒有限制的,可以不斷疊加(這也是網(wǎng)絡(luò)防火墻兼容的架構(gòu)基礎(chǔ)),如果在windows本身的協(xié)議驅(qū)動(dòng)和小端口驅(qū)動(dòng)之間,插入了一個(gè)特制的NDIS中間層驅(qū)動(dòng),所有NDIS協(xié)議驅(qū)動(dòng)和NDIS小端口之間的交互活動(dòng),都會(huì)經(jīng)過這個(gè)中間層過濾,這樣我們就能捕獲這些事件進(jìn)行處理?
0x4:協(xié)議驅(qū)動(dòng)程序(Upper Level Protocol Drivers)
一個(gè)網(wǎng)絡(luò)協(xié)議在NDIS驅(qū)動(dòng)程序?qū)哟谓Y(jié)構(gòu)中屬于最高層驅(qū)動(dòng)程序,而它經(jīng)常在實(shí)現(xiàn)傳輸層協(xié)議的傳輸驅(qū)動(dòng)程序中被用作最底層地 驅(qū)動(dòng)程序,例如TCP/IP或IPX/SPX
1. 一個(gè)傳輸協(xié)議驅(qū)動(dòng)程序分配包,從應(yīng)用程序中將數(shù)據(jù)拷貝到包中,并且通過調(diào)用NDIS函數(shù)將這些包發(fā)送到低層驅(qū)動(dòng)程序中 2. 協(xié)議驅(qū)動(dòng)程序也為從下層驅(qū)動(dòng)程序中接收包提供了接口 3. 一個(gè)傳輸協(xié)議驅(qū)動(dòng)程序?qū)⒔邮盏降臄?shù)據(jù)轉(zhuǎn)換成相應(yīng)的客戶應(yīng)用數(shù)據(jù),在它的下層,協(xié)議驅(qū)動(dòng)程序與中層網(wǎng)絡(luò)驅(qū)動(dòng)程序和微端口NIC驅(qū)動(dòng)程序相連接1) 協(xié)議驅(qū)動(dòng)程序調(diào)用NdisXxx函數(shù)來發(fā)送包,讀取和設(shè)置由低層驅(qū)動(dòng)程序所維護(hù)的信息,以及使用操作系統(tǒng)服務(wù)(NDIS代表下層驅(qū)動(dòng)程序調(diào)用這些函數(shù)為自己或向上指示接收包、指示下層驅(qū)動(dòng)程序的狀態(tài)、以及與協(xié)議驅(qū)動(dòng)程序進(jìn)行通信)2) 協(xié)議驅(qū)動(dòng)程序也提供了一套入口點(diǎn)(ProtocolXxx函數(shù))(對(duì)于上層,傳輸協(xié)議驅(qū)動(dòng)程序?qū)Ω邔域?qū)動(dòng)程序提供了一個(gè)私有接口)0x5: NDIS協(xié)議驅(qū)動(dòng)和NDIS中間層驅(qū)動(dòng)的區(qū)別及其應(yīng)用場(chǎng)景
中間層驅(qū)動(dòng)在信息安全領(lǐng)域的應(yīng)用和協(xié)議驅(qū)動(dòng)的應(yīng)用容易產(chǎn)生混淆
1.NDIS協(xié)議驅(qū)動(dòng)和NDIS中間層驅(qū)動(dòng)都能截獲"所有本機(jī)能接收到的包"
2. 編寫一個(gè)小型的協(xié)議驅(qū)動(dòng),可以截獲本機(jī)接收到的所有的包,這并不是通過攔截,而是注冊(cè)一個(gè)協(xié)議,并綁定了所有下層可以收包的小端口驅(qū)動(dòng)的緣故,被綁定的小端口驅(qū)動(dòng)總是向綁定者(協(xié)議驅(qū)動(dòng))提交網(wǎng)卡接收到的數(shù)據(jù)包(中斷),但是一個(gè)應(yīng)用程序用TCP協(xié)議發(fā)送數(shù)據(jù)時(shí),顯然不會(huì)通過我們注冊(cè)的新協(xié)議,而是調(diào)用TCP/IP協(xié)議,這樣,我們注冊(cè)的NDIS協(xié)議驅(qū)動(dòng)自然沒有機(jī)會(huì)能攔截到上層應(yīng)用的發(fā)包過程,因此,NDIS協(xié)議驅(qū)動(dòng)在安全領(lǐng)域,只適合用來做發(fā)包工具、嗅探器(攔截本機(jī)接收到的包),而不適合做防火墻(因?yàn)榉阑饓π枰p向的實(shí)時(shí)攔截)3.中間層驅(qū)動(dòng)不僅綁定了所有小端口驅(qū)動(dòng),而且還"所有協(xié)議驅(qū)動(dòng)所綁定"(因?yàn)樗猩蠁⑾碌奶匦?#xff09;,于是中間層驅(qū)動(dòng)在理論上可以做到攔截所有通過NDIS發(fā)送和接收的數(shù)據(jù)包,無論應(yīng)用程序使用什么協(xié)議都無法繞過,因此適合做包過濾防火墻的核心組件
//能否截獲所有本機(jī)發(fā)出去的包,成為了NDIS協(xié)議驅(qū)動(dòng)和NDIS中間層驅(qū)動(dòng)在信息安全領(lǐng)域的應(yīng)用方面最本質(zhì)的區(qū)別4.在NDIS中間層驅(qū)動(dòng)中,對(duì)接收和發(fā)送的數(shù)據(jù)包,可以采用的處理方法幾乎是無限的;可以接受、拒絕、修改,對(duì)于大部分安全軟件來說,是采用規(guī)則過濾的方式,即用一系列的規(guī)則對(duì)這個(gè)數(shù)據(jù)包進(jìn)行考核,對(duì)符合規(guī)則合法的包讓它通過;對(duì)不符合規(guī)則的攻擊包/無用的包直接丟棄,同時(shí)也有一些安全軟件對(duì)以太網(wǎng)包進(jìn)行加密/解密的工作。
0x6:NDIS網(wǎng)絡(luò)驅(qū)動(dòng)程序編程要點(diǎn)
1. 可移植性1) NDIS驅(qū)動(dòng)程序應(yīng)很容易在Windows的平臺(tái)間移植。一般說來,從一個(gè)硬件平臺(tái)移植到另一個(gè)平臺(tái)只需要將它在兼容系統(tǒng)的編譯中重新編譯即何2) 驅(qū)動(dòng)程序開發(fā)者應(yīng)當(dāng)避免調(diào)用與操作系統(tǒng)相關(guān)的函數(shù),因?yàn)檫@將使他們的驅(qū)動(dòng)程序不可移植。應(yīng)用NDIS函數(shù)替換這些調(diào)用,只調(diào)用NDIS函數(shù)將使代碼在支持NDIS的微軟操作系統(tǒng)中可移植,NDIS為編寫驅(qū)動(dòng)程序提供了很多支持函數(shù),并且直接調(diào)用操作系統(tǒng)是不需要的 3) 驅(qū)動(dòng)程序應(yīng)用C來編寫。更近一步,驅(qū)動(dòng)程序代碼應(yīng)當(dāng)限制在ANSI C標(biāo)準(zhǔn)并且應(yīng)當(dāng)避免使用不被其他兼容系統(tǒng)編譯器支持的語言特性。驅(qū)動(dòng)程序代碼編寫不應(yīng)當(dāng)使用任何ANSI C標(biāo)準(zhǔn)指明為"implementation defined"的特性來編寫 4) 驅(qū)動(dòng)程序應(yīng)當(dāng)避免使用任何在不同平臺(tái)上大小和結(jié)構(gòu)變化的數(shù)據(jù)類型,驅(qū)動(dòng)程序代碼不應(yīng)該調(diào)用任何C的運(yùn)行時(shí)庫函數(shù),而是限于調(diào)用NDIS提供的函數(shù) 5) 在內(nèi)核模式下漂移指針是不允許的。試圖運(yùn)行這樣的操作將是一個(gè)致命的錯(cuò)誤 6) 如果驅(qū)動(dòng)程序代碼要支持特殊平臺(tái)的特性,那么這些代碼應(yīng)當(dāng)包含在#ifdef和#endif聲明之間 2. 多處理器支持1) 編寫的代碼應(yīng)當(dāng)可以在多處理器系統(tǒng)中安全運(yùn)行。這對(duì)于編寫可移植的Windows驅(qū)動(dòng)程序是很重要的。一個(gè)網(wǎng)絡(luò)驅(qū)動(dòng)程序必須使用NDIS函數(shù)庫提供的多處理器安全保證2) 在單處理器環(huán)境下,在一個(gè)時(shí)刻單處理器只運(yùn)行一條機(jī)器指令,既使這樣,當(dāng)包到達(dá)或時(shí)間中斷發(fā)生時(shí),對(duì)于NIC或其他設(shè)備執(zhí)行的中斷也可能發(fā)生。典型的,當(dāng)正在操縱數(shù)據(jù)結(jié)構(gòu)時(shí),例如它的隊(duì)列時(shí),驅(qū)動(dòng)程序?qū)IC發(fā)出停用中斷來操縱數(shù)據(jù),隨后再發(fā)生可用中斷。許多線程在單處理器環(huán)境下表現(xiàn)的好像是在同一時(shí)刻運(yùn)行的,但是實(shí)際上它們卻是在獨(dú)立的時(shí)間片上運(yùn)行的 3) 在多處理器環(huán)境下,處理器同時(shí)可運(yùn)行多條機(jī)器指令,一個(gè)驅(qū)動(dòng)程序必須異步化,這使得當(dāng)一個(gè)驅(qū)動(dòng)程序函數(shù)正在操縱一個(gè)數(shù)據(jù)結(jié)構(gòu)時(shí),同樣的在其他處理器運(yùn)行的驅(qū)動(dòng)程序函數(shù)不能修改共享的數(shù)據(jù)。在一個(gè)SMP機(jī)器中,所有的驅(qū)動(dòng)程序代碼都要重新裝入,為了消除這種資源保護(hù)問題,Windows驅(qū)動(dòng)程序使用自旋鎖 3. IRQL 所有NDIS調(diào)用的驅(qū)動(dòng)程序函數(shù)都運(yùn)行在系統(tǒng)決定的IRQL下,PASSIVE_LEVEL < DLSPATCH_LEVEL<DIRQL中的一個(gè)。例如1) 一個(gè)微端口初始化函數(shù)、掛起函數(shù)、重啟函數(shù)和有時(shí)的關(guān)閉函數(shù)通常都運(yùn)行在PASSIVE_LEVEL下2) 中斷代碼運(yùn)行在DIRQL下 所以NDIS中層或協(xié)議驅(qū)動(dòng)程序從不運(yùn)行在DIRQL下。所有其他的NDIS驅(qū)動(dòng)程序函數(shù)運(yùn)行在IRQL <= DISPATCH_LEVEL下 驅(qū)動(dòng)程序函數(shù)運(yùn)行于的IRQL將影響調(diào)用什么樣的NDIS函數(shù)。特定的函數(shù)只可在IRQL PASSIVE_LEVEL下調(diào)用,其他的函數(shù)可在DISPATCH_LEVEL或更低層調(diào)用。一個(gè)驅(qū)動(dòng)程序的編寫者應(yīng)當(dāng)檢查每一個(gè)NDIS函數(shù)的IRQL限制 任何與驅(qū)動(dòng)程序的ISR共享資源的驅(qū)動(dòng)程序函數(shù)必須能將它的IRQL升級(jí)到DTRQL來防止?fàn)幱们闆r的發(fā)生,NDIS提供了這種機(jī)質(zhì) 4. 同步和指示 當(dāng)兩個(gè)線程共享可被同時(shí)訪問的資源時(shí),無論是單處理機(jī)還是SMP,同步是必須的。例如,對(duì)于一個(gè)單處理機(jī),如果一個(gè)驅(qū)動(dòng)程序正在訪問一個(gè)共享資源時(shí),被一個(gè)運(yùn)行在更高IRQL(例如ISR)的函數(shù)中斷時(shí),必須保護(hù)共享資源以阻止這種爭(zhēng)用的發(fā)生而使資源處于不確定狀態(tài) 在一個(gè)SMP中,兩個(gè)線程可以在同一時(shí)刻運(yùn)行,在不同處理器上并且試圖來修改同一數(shù)據(jù)的訪問必須同步。 NDIS提供了自旋鎖可以用來對(duì)在同一IRQL下運(yùn)行的線程間訪問共享資源實(shí)現(xiàn)同步。當(dāng)兩個(gè)線程在不同IRQL下訪問共享資源時(shí),NDIS提供了一種機(jī)制來臨時(shí)提高低IRQL代碼的IRQL,以使得訪問共享資源串行化 NDIS提供下面四種機(jī)制來保證同步: 4.1 自旋鎖 自旋鎖提供了一個(gè)用來保護(hù)共享資源的同步機(jī)制,這種資源是單處理器或一個(gè)多處理機(jī)下的、運(yùn)行在IRQL > PASSIVE_LEVEL下的、內(nèi)核模式中的線程所共享使用的。一個(gè)自旋鎖在同時(shí)運(yùn)行在一個(gè)SMP機(jī)上不同的執(zhí)行線程之間提供同步。一個(gè)線程在訪問保護(hù)資源前獲得一個(gè)自旋鎖。自旋鎖使得任務(wù)線程中只有持有自旋鎖的線程可使用資源。一個(gè)等待自旋鎖的線程將在試圖獲得鎖時(shí)間內(nèi)循環(huán),直到持有鎖的線程釋放為止 自旋鎖還存在著一個(gè)不太明顯但很重要的事實(shí):你僅能在低于或等于DISPATCH_LEVEL級(jí)上請(qǐng)求自旋鎖,在你擁有自旋鎖期間,內(nèi)核將把你的代碼提升到DISPATCH_LEVEL級(jí)上運(yùn)行。在內(nèi)部,內(nèi)核能在高于DISPATCH_LEVEL的級(jí)上獲取自旋鎖,但你和我都做不到這一點(diǎn)。當(dāng)KeAcquireSpinLock獲取自旋鎖時(shí),它會(huì)把IRQL提升到DISPATCH_LEVEL級(jí)上。當(dāng)KeReleaseSpinLock釋放自旋鎖時(shí),它會(huì)把IRQL降低到原來的IRQL級(jí)上。如果你知道代碼已經(jīng)處在DISPATCH_LEVEL級(jí)上,你可以調(diào)用兩個(gè)專用函數(shù)來獲取自旋鎖。KeAcquireSpinLockAtDpcLevel及 KeReleaseSpinLockFromDpcLevel。一個(gè)編寫很好的網(wǎng)絡(luò)驅(qū)動(dòng)程序應(yīng)該會(huì)減少自旋鎖持有的時(shí)間 一個(gè)典型的使用自旋鎖的例子是保護(hù)一個(gè)隊(duì)列。例如,微端口發(fā)送函數(shù)MiniportSend將協(xié)議驅(qū)動(dòng)程序傳來的包進(jìn)行排隊(duì)。因?yàn)槠渌?qū)動(dòng)程序函數(shù)也使用這個(gè)隊(duì)列,MiniportSend必須用一個(gè)自旋鎖保護(hù)這個(gè)隊(duì)列使得在一個(gè)時(shí)刻只有一個(gè)線程可操縱這個(gè)隊(duì)列。Miniport Send獲得自旋鎖,添加包到隊(duì)列后釋放自旋鎖。使用自旋鎖保證持鎖線程是唯一修改隊(duì)列的線程,同時(shí)使得包被安全地添加到隊(duì)列中。當(dāng)NIC驅(qū)動(dòng)程序從隊(duì)列中取走包時(shí),通過同樣的自旋鎖保護(hù)這個(gè)訪問。當(dāng)執(zhí)行指令修改隊(duì)列頭或任何隊(duì)列組成域時(shí),驅(qū)動(dòng)程序必須用自旋鎖保護(hù)隊(duì)列 4.2 避免死鎖問題 Windows并不限制網(wǎng)絡(luò)驅(qū)動(dòng)程序同時(shí)持有多于一個(gè)的自旋鎖。但是,驅(qū)動(dòng)程序的某部分在持有自旋鎖B時(shí),試圖獲得自旋鎖A,并且其他部分在持有鎖A時(shí),試圖獲得自旋鎖B時(shí),死鎖就會(huì)發(fā)生。如果要獲得多于一個(gè)的自旋鎖,驅(qū)動(dòng)程序應(yīng)當(dāng)通過強(qiáng)制以某一順序獲得鎖來避免死鎖,這就是說,如果一個(gè)驅(qū)動(dòng)程序強(qiáng)制在獲得自旋鎖A之后才可獲得鎖B,那么上述情況就不會(huì)發(fā)生 總得來說,使用自旋鎖將對(duì)系統(tǒng)性能帶來負(fù)面效應(yīng),所以驅(qū)動(dòng)程序不應(yīng)當(dāng)使用許多鎖 4.3 時(shí)鐘 時(shí)鐘被用來輪詢或進(jìn)行超時(shí)操作的。一個(gè)驅(qū)動(dòng)程序可以產(chǎn)生一個(gè)時(shí)鐘并與一個(gè)函數(shù)關(guān)聯(lián)上。當(dāng)一個(gè)特定周期時(shí)鐘期滿時(shí),調(diào)用相關(guān)函數(shù)。時(shí)鐘可以是一次的或周期性的,一但設(shè)置了一個(gè)周期時(shí)鐘,當(dāng)每個(gè)周期結(jié)束時(shí)都會(huì)觸發(fā),直到它被完全清除掉為止。一次性時(shí)鐘在觸發(fā)后必須重新設(shè)置 時(shí)鐘通過調(diào)用NdisMInitializeTimer來產(chǎn)生和初始化,并且通過調(diào)用NdisMsetTimer來設(shè)置,也可調(diào)用NdisMsetPeriodicTimer設(shè)置周期時(shí)鐘。如果使用了一個(gè)非周期時(shí)鐘,那么通過調(diào)用NdisMSetPeriodicTimer重新設(shè)置時(shí)鐘。通過調(diào)用NdisMCancelTimer可以清除時(shí)鐘 4.4 事件 事件在兩個(gè)執(zhí)行線程之間實(shí)現(xiàn)同步操作。一個(gè)事件通過一個(gè)驅(qū)動(dòng)程序裝入并且通過調(diào)用NdisInitializeEvent初始化。一個(gè)運(yùn)行在IRQL PASSIVE_LEVEL下的線程調(diào)用NdisWaitEvent來將自身轉(zhuǎn)入等侯狀態(tài)。當(dāng)一個(gè)驅(qū)動(dòng)程序線程等待一個(gè)事件時(shí),它指定了最大等待時(shí)間即等待事件的時(shí)間。當(dāng)調(diào)用NdisSetEvent使時(shí)間得到信號(hào)量,或最大等待時(shí)間段結(jié)束時(shí),它們兩個(gè)無論是誰先發(fā)生時(shí)都將結(jié)束線程等待狀態(tài) 典型的,事件是通過相互協(xié)調(diào)的線程調(diào)用NdisSetEvent來設(shè)置的。事件被創(chuàng)建時(shí)是沒有信號(hào)量的,但為了指示等待線程,它必須要設(shè)置信號(hào)量,事件將一直處于保持有信號(hào)狀態(tài),直到NdiResetEvent調(diào)用后為止 5. 包結(jié)構(gòu) 通過一個(gè)協(xié)議驅(qū)動(dòng)程序可以分配NDIS包、填充數(shù)據(jù),并且將它傳遞到下層的NDIS驅(qū)動(dòng)程序,以便將數(shù)據(jù)發(fā)送到網(wǎng)絡(luò)上。一些最底層的NIC驅(qū)動(dòng)程序分配包用來保存接收到的數(shù)據(jù),并將包傳遞到對(duì)應(yīng)的高層驅(qū) 6. 使用共享內(nèi)存 用作總線管理DMA設(shè)備的微端口驅(qū)動(dòng)程序必須為NIC和NIC驅(qū)動(dòng)程序分配共享內(nèi)存。當(dāng)在一個(gè)驅(qū)動(dòng)程序和它的NIC之間共享cache時(shí),特別的預(yù)防是必須的。在某種結(jié)構(gòu)下,必須采取特別步驟來保證內(nèi)存一致,因?yàn)镹IC可以直接訪問共享的物理內(nèi)存,而NIC驅(qū)動(dòng)程序卻要通過cache訪問內(nèi)存。這就引起驅(qū)動(dòng)程序和NIC訪問內(nèi)存的不同,即使它們看起來在同一位置 7. 異步I/O和完成函數(shù) 因?yàn)樵谝恍┚W(wǎng)絡(luò)操作中有繼承的因素,許多由NIC驅(qū)動(dòng)程序提供的上層函數(shù)和協(xié)議驅(qū)動(dòng)程序提供的下層函數(shù)被設(shè)計(jì)成支持異步操作,而不是用CPU消耗一定時(shí)間的循環(huán)來等待一個(gè)任務(wù)的完成或硬件事件的指示,網(wǎng)絡(luò)驅(qū)動(dòng)程序依賴處理許多異步操作的能力 通過使用完成函數(shù)來支持異步網(wǎng)絡(luò)I/O。以下的例子將說明網(wǎng)絡(luò)的send操作如何使用一個(gè)完成函數(shù),同樣的機(jī)制也存在一個(gè)協(xié)議或NIC驅(qū)動(dòng)程序的其他操作中 當(dāng)協(xié)議驅(qū)動(dòng)程序調(diào)用NDIS發(fā)送一個(gè)包時(shí),NDIS調(diào)用NIC驅(qū)動(dòng)程序的MiniportSend函數(shù)發(fā)送請(qǐng)求,NIC驅(qū)動(dòng)程序試圖立即完成這個(gè)請(qǐng)求并且返回一個(gè)恰當(dāng)?shù)臓顟B(tài)值。對(duì)于同步操作,可能返回NDIS_STATUS_SUCCESS作為發(fā)送成功的標(biāo)志,NDIS_STATUS_RESOURCES和NDIS_STATUS_FAILURE表明有某些失敗。 但是一個(gè)發(fā)送操作要花費(fèi)一些時(shí)間來完成,此時(shí)NIC驅(qū)動(dòng)程序(或NDIS)可將包排隊(duì)并且等侯NIC指示發(fā)送操作的結(jié)果。NIC驅(qū)動(dòng)程序的MiniportSend函數(shù)可以通過返回一個(gè)NDIS_STATUS_PENDING的狀態(tài)值來異步處理這個(gè)操作,當(dāng)NIC驅(qū)動(dòng)程序完成了發(fā)送操作后,包調(diào)用完成函數(shù)NdisMSendComplete在調(diào)用中傳遞指向一個(gè)已被發(fā)送的包的描述符的指針。這個(gè)信息會(huì)傳給協(xié)議驅(qū)動(dòng)程序,指示完成了操作 許多需要一定時(shí)間來完成的驅(qū)動(dòng)程序操作用完成數(shù)來完成支持異步的操作。這種函數(shù)有同一形式的名字NidisMXxxComplete。不僅可用于發(fā)送和接收函數(shù),完成函數(shù)也可用于查詢、配置、重新設(shè)置硬件、狀態(tài)指示、指示收到數(shù)據(jù)和傳送收到數(shù)據(jù)0x7:NDIS協(xié)議驅(qū)動(dòng)的實(shí)現(xiàn)
1.初始化
? 協(xié)議驅(qū)動(dòng)程序必須提供一個(gè)入口函數(shù)DrverEntry函數(shù),相當(dāng)于C應(yīng)用程序的main函數(shù),驅(qū)動(dòng)程序也是從這里開始被調(diào)用執(zhí)行的。DrverEntry函數(shù)主要功能是
? ? 1) 對(duì)協(xié)議驅(qū)動(dòng)中必須使用到的一系列protocol函數(shù)進(jìn)行注冊(cè),并對(duì)驅(qū)動(dòng)數(shù)據(jù)結(jié)構(gòu)及資源進(jìn)行初始化操作
? ? 2) 在DriverEntry必須調(diào)用NdisRegisterProtocol函數(shù)注冊(cè)驅(qū)動(dòng)的Protocol函數(shù)入口點(diǎn)
? ? 3) 并且必須注冊(cè)ProtocolBindAdapter和ProtocolUnBindAdapter函數(shù),以便在ProtocolBindAdapter函數(shù)中繼續(xù)完成初始化工作。
? ? 4) DriverEntry函數(shù)中還需要注冊(cè)相關(guān)派遣例程等
Protocol函數(shù)注冊(cè)后,驅(qū)動(dòng)運(yùn)行時(shí)會(huì)自動(dòng)調(diào)用相關(guān)Protocol函數(shù)完成相應(yīng)功能。
2. 動(dòng)態(tài)綁定 協(xié)議驅(qū)動(dòng)程序通過提供ProtocolBindAdapter 函數(shù)和ProtocolUnbindAdapter 函數(shù)就可以支持對(duì)低層網(wǎng)卡的動(dòng)態(tài)綁定(本質(zhì)是一個(gè)高層接口規(guī)范,是底層物理網(wǎng)卡必須遵循和實(shí)現(xiàn)的一個(gè)接口規(guī)范)。如果驅(qū)動(dòng)程序向NDIS 注冊(cè)了這些函數(shù),那么將可以延遲打開和綁定低層網(wǎng)卡而不必在DriverEntry 函數(shù)中實(shí)現(xiàn)該功能,只要用ProtocolBindAdapter 函數(shù)就可代替執(zhí)行該操作 如果協(xié)議驅(qū)動(dòng)程序提供了這些函數(shù),那么只要低層網(wǎng)卡可用,NDIS 將調(diào)用能夠?qū)⒆约航壎ǖ皆撨m配器的任何協(xié)議驅(qū)動(dòng)程序的ProtocolBindAdapter 函數(shù)。并且只要低層網(wǎng)卡被關(guān)閉,那么NDIS 將可以調(diào)用互逆的ProtocolUnbindAdapter 函數(shù)3.數(shù)據(jù)包的組織和管理
在NDIS中,數(shù)據(jù)的接收與發(fā)送都是以包為單位進(jìn)行的。一個(gè)包由以下3部分組成
? ? 1) 一個(gè)包描述符。其所含信息包括整個(gè)包所占用的物理頁面的數(shù)量、包的長(zhǎng)度、指向第一個(gè)和最后一個(gè)緩沖區(qū)描述符的指針以及包池的句柄等等
? ? 2) 一組緩沖區(qū)描述符。每個(gè)緩沖區(qū)描述符r用來描述一片存儲(chǔ)區(qū)域,其中包括起始虛擬地址、偏移量、該存儲(chǔ)區(qū)域的大小以及指向下一個(gè)緩沖區(qū)描述符的指針等信息。
? ? 3) 由緩沖區(qū)描述符所描述的虛擬存儲(chǔ)區(qū)域,該區(qū)域可能橫跨幾個(gè)頁面。這些頁面最終被映射到物理內(nèi)存中。
4.接收數(shù)據(jù)
驅(qū)動(dòng)初始化時(shí)會(huì)注冊(cè)兩個(gè)接收函數(shù),ProtocolRecieve 和ProtocolRecievePacket 函數(shù),當(dāng)有數(shù)據(jù)包發(fā)送到網(wǎng)卡時(shí),驅(qū)動(dòng)會(huì)根據(jù)網(wǎng)卡類型調(diào)用所需函數(shù),不支持多包接收的網(wǎng)卡或者接收單包且包描述符附有帶外數(shù)據(jù)的情況下會(huì)調(diào)用ProtocolRecieve 函數(shù),而多包接收的網(wǎng)卡會(huì)調(diào)用ProtocolRecievePacket 函數(shù)驅(qū)動(dòng)程序負(fù)責(zé)維護(hù)一個(gè)接收緩沖區(qū),該緩沖區(qū)以隊(duì)列的形式組織。當(dāng)網(wǎng)卡通知NDIS已從網(wǎng)絡(luò)上接收到數(shù)據(jù)包時(shí),可以先將這些數(shù)據(jù)緩存起來。當(dāng)上層應(yīng)用程序需要讀取數(shù)據(jù)時(shí),該讀操作的數(shù)據(jù)源不是直接從網(wǎng)絡(luò)得到,而是經(jīng)過有效管理的存放著數(shù)據(jù)的緩沖區(qū)
5. 發(fā)送數(shù)據(jù) 發(fā)送數(shù)據(jù)必須先組成需要發(fā)送的包格式,然后放到隊(duì)列中,等待發(fā)送。在發(fā)送前,要?jiǎng)?chuàng)建發(fā)送數(shù)據(jù)包池和緩沖池(在綁定時(shí)候創(chuàng)建),在需要發(fā)送數(shù)據(jù)時(shí)為包從包池中創(chuàng)建包描述符和緩沖描述符 當(dāng)數(shù)據(jù)包組好后,首先對(duì)數(shù)據(jù)的合法性檢驗(yàn)。如果數(shù)據(jù)太短,小于以太網(wǎng)包頭(14 個(gè)字節(jié)),則不合法;如果數(shù)據(jù)太長(zhǎng),比底層網(wǎng)卡所能支持的最大幀長(zhǎng)度還長(zhǎng),則也不合法;然后判斷是否已經(jīng)綁定網(wǎng)卡,如果已綁定則調(diào)用系統(tǒng)函數(shù)NdisAllocatePacket 分配和初始化一個(gè)包描述符,調(diào)用NdisAllocateBuffer 分配和初始化緩沖描述符,并給新分配得到的緩沖描述符賦值,指向系統(tǒng)空間中的用戶緩沖區(qū),當(dāng)資源分配完畢,會(huì)根據(jù)需要調(diào)用系統(tǒng)函數(shù)NdisSendPackets 或NdisSend 向下遞交一個(gè)發(fā)送請(qǐng)求對(duì) NdisSendPackets 的調(diào)用,系統(tǒng)會(huì)自動(dòng)調(diào)用ProtocolSendComplete來完成發(fā)送操作,獲得發(fā)送的包的緩沖區(qū)信息,并釋放包緩沖區(qū)描述符
收包由響應(yīng)網(wǎng)卡產(chǎn)生的中斷開始,發(fā)包由TDI傳入?yún)f(xié)議驅(qū)動(dòng)的IRP開始
0x8: NDIS包描述符結(jié)構(gòu)
NDIS包描述符在協(xié)議驅(qū)動(dòng)和小端口驅(qū)動(dòng)中都有用到,在WDK中定義了NDIS_PACKET結(jié)構(gòu)
typedef struct _NDIS_PACKET {
? NDIS_PACKET_PRIVATE Private;
? union {
? ? struct {
? ? ? UCHAR MiniportReserved[2*sizeof(PVOID)];
? ? ? UCHAR WrapperReserved[2*sizeof(PVOID)];
? ? };
? ? struct {
? ? ? UCHAR MiniportReservedEx[3*sizeof(PVOID)];
? ? ? UCHAR WrapperReservedEx[sizeof(PVOID)];
? ? };
? ? struct {
? ? ? UCHAR MacReserved[4*sizeof(PVOID)];
? ? };
? };
? ULONG_PTR ? ? ? ? ? Reserved[2];
? UCHAR ? ? ? ? ? ? ? ProtocolReserved[1];
} NDIS_PACKET, *PNDIS_PACKET, **PPNDIS_PACKET;
需要明白的,NDIS的數(shù)據(jù)包是以一種指針隊(duì)列的形式存在的,也就是說,網(wǎng)卡收到數(shù)據(jù)庫產(chǎn)生中斷,通過Buffer緩存數(shù)據(jù)包,NDIS和網(wǎng)卡通過Buffer進(jìn)行異步協(xié)同
Relevant Link:
https://msdn.microsoft.com/en-us/library/windows/hardware/ff557086(v=vs.85).aspx
3. NDIS微端口驅(qū)動(dòng)編程實(shí)例
一個(gè)NDIS微端口驅(qū)動(dòng)程序(也叫微端口NIC驅(qū)動(dòng)程序)有兩個(gè)基本功能
1. 管理一個(gè)網(wǎng)絡(luò)接口卡(NIC),包括通過NIC發(fā)送和接收數(shù)據(jù) 2. 與高層驅(qū)動(dòng)程序相接,例如中間層驅(qū)動(dòng)程序和傳輸協(xié)議驅(qū)動(dòng)程序發(fā)送和接收操作表明了NDIS與高層驅(qū)動(dòng)程序和微端口NIC的相互作用
1. 當(dāng)一個(gè)傳輸驅(qū)動(dòng)程序發(fā)送一個(gè)包時(shí),它調(diào)用一個(gè)NDIS庫所提供的NdisXxx函數(shù),NDIS于是通過調(diào)用由微端口提供的合適的MiniportXxx函數(shù)將包傳遞給微端口,然后微端口驅(qū)動(dòng)程序通過調(diào)用恰當(dāng)?shù)腘disXxx函數(shù)將包傳遞給NIC來發(fā)送包 2. 當(dāng)一個(gè)NIC接收到由NIC發(fā)給它的包時(shí),它將產(chǎn)生一個(gè)由NDIS或NIC的微端口處理的中斷。NDIS通過調(diào)用恰當(dāng)?shù)腗iniportXxx函數(shù)指示NIC的微端口。微端口通過調(diào)用恰當(dāng)?shù)腘disXxx函數(shù)把數(shù)據(jù)從NIC傳送到上層驅(qū)動(dòng)程序,并且同時(shí)指示上層驅(qū)動(dòng)程序接收包(NDIS在這里起到承上啟下作用,它再去調(diào)用對(duì)應(yīng)的ProtocolXxx函數(shù))0x1:NIC微端口驅(qū)動(dòng)程序類型
NDIS既支持無連接環(huán)境下的微端口驅(qū)動(dòng)程序,也支持面向連接的微端口驅(qū)動(dòng)程序,NDIS支持以下幾種類型的網(wǎng)絡(luò)接口卡(NIC)驅(qū)動(dòng)程序
1. 無連接的微端口 例如Ethernt,FDDI和Token Ring,控制NIC。可將無連接微端口進(jìn)一步分為以下幾種子類型 1) 串行化的驅(qū)動(dòng)程序: 它依靠NDIS對(duì)MiniportXxx函數(shù)調(diào)用進(jìn)行串行化,并管理它們的發(fā)送隊(duì)列2) 非串行化驅(qū)動(dòng)程序: 它自己對(duì)MiniportXxx函數(shù)操作進(jìn)行串行化,并且在內(nèi)部對(duì)進(jìn)入的發(fā)送包進(jìn)行排隊(duì)。它的意義在于有很高的效率,例如驅(qū)動(dòng)程序的臨界區(qū)(在一個(gè)時(shí)間段內(nèi)只有一個(gè)線程可訪問的代碼區(qū))保持很小,但是,非串行化微端口必須滿足額外的并且是極苛刻的設(shè)計(jì)要求,同時(shí)還要求有額外的調(diào)試和測(cè)試時(shí)間 2. 面向連接的微端 面向連接的網(wǎng)絡(luò)介質(zhì),例如ATM和ISDN,控制NIC。面向連接的微端口經(jīng)常對(duì)MiniportXxx函數(shù)操作進(jìn)行串行化,并且在內(nèi)部對(duì)進(jìn)入的發(fā)送抱進(jìn)行排隊(duì)一個(gè)NDIS微端口驅(qū)動(dòng)程序可以有一個(gè)非NDIS的底層,通過它的非NDIS底層,微端口使用某種類型的接口,例如通用串行總線構(gòu)架(USB)或IEEEE1394(火線)來控制總線上的設(shè)備。微端口通過直接發(fā)送I/O請(qǐng)求包(IRPs)到總線或是發(fā)送到連接到總線的其他遠(yuǎn)程設(shè)備上來與設(shè)備通信。在它的上層,微端口提供了標(biāo)準(zhǔn)的NDIS微端口接口,它使得微端口可以與上層NDIS驅(qū)動(dòng)程序通信
NDIS也支持廣域網(wǎng)(WAN)范圍的控制WAN NIC的微端口
0x2:網(wǎng)絡(luò)接口卡支持
Windows 2000支持以下幾種類型的網(wǎng)絡(luò)接口卡
1. Ethernet (802.3) 2. Token Ring (802.5) 3. FDDI 4. LocalTalk 5. Raw ARCNET (ARCNET 封裝在 Ethernet) 6. ARCNET 878.2 7. WAN(點(diǎn)對(duì)點(diǎn)和WAN卡) 8. 面向連接的WAN 9. 無線 10. ATM 11. IrDA當(dāng)NDIS調(diào)用一個(gè)NIC驅(qū)動(dòng)程序的MiniportInitialize函數(shù)時(shí),它傳遞了一組NDIS支持的介質(zhì)。如果NIC驅(qū)動(dòng)程序僅支持一種介質(zhì)類型,它選擇它所支持的介質(zhì)。或者,如果NIC驅(qū)動(dòng)程序支持多于一種的介質(zhì)類型,它選擇它所喜歡的那一種并且將它的選擇返回給NDIS
當(dāng)一個(gè)高層NDIS協(xié)議驅(qū)動(dòng)程序調(diào)用NdisOpenAdapter來綁定一個(gè)具體的NIC時(shí),它提供了一系列它所能操作的介質(zhì)類型,NDIS使用來自NIC的信息和來自協(xié)議驅(qū)動(dòng)程序的信息來正確綁定它們。這個(gè)綁定提供了一條路徑,通過這條路徑,包可以在協(xié)議棧中往下傳遞并通過網(wǎng)絡(luò)傳遞出去,通過這條路徑,接收到的包可以傳到高層驅(qū)動(dòng)程序
0x3:微端口驅(qū)動(dòng)程序代碼的重要特征
1. MiniportXxx函數(shù) 典型的微端口驅(qū)動(dòng)程序僅使用很少的函數(shù)來通過NDIS與上層和硬件進(jìn)行通信。NDIS為了完成自身的任務(wù)或協(xié)議驅(qū)動(dòng)程序的服務(wù),調(diào)用(MiniportXxx)函數(shù)列表與微端口通信;并不是所有的這些函數(shù)都是必須的,作為一個(gè)最基本的微端口驅(qū)動(dòng)程序來說,它只需要滿足最低程度的NDIS的接口規(guī)范即可正常運(yùn)行2. NDIS NIC微端口和上層驅(qū)動(dòng)程序使用NDIS庫(ndis.sys)通過調(diào)用NdisXxx函數(shù)在彼此間通信。許多微端口函數(shù)可以異步運(yùn)行或同步運(yùn)行1) 對(duì)于異步函數(shù),當(dāng)操作完成以后,必須調(diào)用NdisXxx...Complete。例如,如果一個(gè)協(xié)議驅(qū)動(dòng)程序調(diào)用NdisReset來復(fù)位一個(gè)NIC,微端口的MiniportReset函數(shù)通過返回NDIS_STATUS_PENDING來掛起復(fù)位操作。最終,MiniportReset函數(shù)必須調(diào)用NdisMResetComplete來指示復(fù)位請(qǐng)求的最終狀態(tài) 3. 與NDIS庫鏈接 NDIS庫封裝在ndis.sys中,這個(gè)內(nèi)核模式庫提供了一系列函數(shù)接口,它側(cè)重于使功能最大化的宏。提供接口的庫是一個(gè).sys文件,它的函數(shù)與動(dòng)態(tài)鏈接庫相似。包括協(xié)議和NIC驅(qū)動(dòng)程序,以及WAN NIC驅(qū)動(dòng)程序,它們都與NDIS庫相鏈接4. 微端口適配器環(huán)境 NDIS使用叫一個(gè)"邏輯適配器"的軟件對(duì)象來代表系統(tǒng)中每一個(gè)NIC。這個(gè)對(duì)象由NDIS管理,并且對(duì)微端口和協(xié)議驅(qū)動(dòng)程序是透明的。NDIS將這個(gè)結(jié)構(gòu)的句柄傳遞給NIC驅(qū)動(dòng)程序的MiniportInitialize函數(shù)。以后微端口驅(qū)動(dòng)程序在調(diào)用NdisXxx函數(shù)時(shí),如果這個(gè)函數(shù)與此句柄表示的NIC有關(guān),它應(yīng)在函數(shù)中傳遞此句柄 當(dāng)調(diào)用微端口NIC驅(qū)動(dòng)程序來初始化一個(gè)它管理的NIC時(shí),微端口驅(qū)動(dòng)程序產(chǎn)生自己的內(nèi)部數(shù)據(jù)結(jié)構(gòu)來代表NIC。驅(qū)動(dòng)程序使用這個(gè)結(jié)構(gòu),把它當(dāng)作微端口適配器環(huán)境,來維護(hù)特定設(shè)備的狀態(tài)信息,這些信息是管理NIC所必須的。當(dāng)驅(qū)動(dòng)程序的MiniportInitialize函數(shù)調(diào)用NdisMSetAttributes或NdisMSetAttributesEx時(shí),它將這個(gè)結(jié)構(gòu)的句柄傳遞給NDIS。當(dāng)NDIS調(diào)用與NIC相關(guān)的微端口的MiniportXxx函數(shù)時(shí),它將指向NIC的句柄傳遞給適當(dāng)驅(qū)動(dòng)程序。微端口適配器環(huán)境為微端口所擁用并且為微端口所管理,它對(duì)于NDIS和協(xié)議驅(qū)動(dòng)程序是透明的5. VC環(huán)境 在建立一個(gè)呼叫之前,面向連接的客戶方請(qǐng)求面向連接的微端口建立一個(gè)虛擬連接(VC),通過它可以發(fā)送和/或接收包。同樣,在向面向連接的客戶方指示一個(gè)入站呼叫之前,呼叫管理器或集成的微端口呼叫管理器(MCM)請(qǐng)求微端口為入站呼叫建立一個(gè)VC。一個(gè)虛擬連接是兩個(gè)面向連接實(shí)體間的一個(gè)邏輯連接。面向連接的發(fā)送和接收通常在一個(gè)特定的VC上進(jìn)行。 面向連接微端口在微端口在為每個(gè)VC分配的環(huán)境區(qū)中保存狀態(tài)信息。每一個(gè)VC的環(huán)境由微端口來管理,并且它對(duì)于NDIS和協(xié)議驅(qū)動(dòng)程序是透明的。在它的MiniportCoCreateVC函數(shù)中,面向連接的微端口將VC環(huán)境區(qū)域的句柄傳遞給NDIS,NDIS將一個(gè)唯一指定的已存在的VC的NdisVcHandle回傳給微端口、回傳給適當(dāng)?shù)牡拿嫦蜻B接的客戶方、回傳給呼叫管理器或集成微端口呼叫管理器(MCM) 在VC上發(fā)送和接收數(shù)據(jù)之前,VC必須被激話。呼叫管理器通過調(diào)用Ndis(M)CmDeactivateVc來初始化激活的VC并且向呼叫管理器傳遞呼叫參數(shù),這包括用來激活VC的參數(shù)。作為響應(yīng),NDIS調(diào)用微端口的MiniportCoActivateVc函數(shù)來激活VC。 在一個(gè)呼叫結(jié)束或因其他原因不再需要VC時(shí),呼叫管理器通過調(diào)用Ndis(M)CmDeactivateVc來去活VC,這也將引起NDIS調(diào)用微端口的MiniportCoDeactivateVc函數(shù)。對(duì)于面向連接的客戶方或呼收管理器,可以通過調(diào)用NdisCoDeleteVc來指示對(duì)VC的刪除,它將引起NDIS調(diào)用微端口的MiniportCoDeleteVc函數(shù) 6. 網(wǎng)絡(luò)OID 微端口維護(hù)有關(guān)它的性能和當(dāng)前狀況的信息,以及有關(guān)它所控制的每個(gè)NIC的信息。每一個(gè)信息類型都由一個(gè)對(duì)象標(biāo)識(shí)(OID)確認(rèn),OID由系統(tǒng)定義 NDIS和高層驅(qū)動(dòng)程序可以使用OID來查詢信息以及在某些情況下設(shè)置信息 1) 對(duì)于無連接介質(zhì)的高層驅(qū)動(dòng)程序,它調(diào)用NdisRequest來查詢或設(shè)置一個(gè)無連接微端口中的信息。為了執(zhí)行查詢操作,NDIS調(diào)用微端口的MiniportQueryInformation函數(shù)。為了執(zhí)行設(shè)置操作,NDIS調(diào)用微端口的MiniportSetInformation函數(shù) 2) 對(duì)于面向連接介質(zhì)的高層驅(qū)動(dòng)程序,它調(diào)用NdisCoRequest來查詢或設(shè)置面向連接微端口中的信息。為了執(zhí)行查詢和設(shè)置操作,NDIS調(diào)用微端口的MiniportCoRequest函數(shù) NDIS將許多系統(tǒng)為微端口定義的OID映射為全局的唯一標(biāo)識(shí)(GUIDs)。NDIS向內(nèi)核模式的Windows管理檢測(cè)器(WMI)來注冊(cè)這些GUIDS。WMI支持用戶模式下的基于Web的企業(yè)管理(WBEM)應(yīng)用。當(dāng)一個(gè)WMI客戶方查詢或設(shè)置這些GUIDS中的一個(gè)值時(shí),NDIS將這些請(qǐng)求轉(zhuǎn)換為一個(gè)恰當(dāng)?shù)腛ID查詢操作或一個(gè)OID設(shè)置操作,并且把信息和狀態(tài)返回給WMI。驅(qū)動(dòng)程序編寫者可將自定義的GUID映射為客戶OID或微端口狀態(tài)。一個(gè)微端口必須在初始化時(shí)向NDIS注冊(cè)客戶的GUID-to-OID或GUID-to-status映射0x4:NDIS微端口驅(qū)動(dòng)程序入口函數(shù)
每個(gè)NIC微端口驅(qū)動(dòng)程序必須提供一個(gè)DriverEntry的函數(shù)。DriverEntry由系統(tǒng)調(diào)用來裝載驅(qū)動(dòng)程序。DriverEntry產(chǎn)生一個(gè)微端口NIC驅(qū)動(dòng)程序和NDIS庫的連接,并且向NDIS注冊(cè)微端口的版本和入口指針
.. NDIS_HANDLE NdisWrapperHandle; .. NTSTATUS DriverEntry(//指向驅(qū)動(dòng)程序?qū)ο蟮闹羔?#xff0c;它由I/O系統(tǒng)產(chǎn)生IN PDRIVER_OBJECT DriverObject,/*指向驅(qū)動(dòng)程序?qū)ο蟮闹羔?#xff0c;它由I/O系統(tǒng)產(chǎn)生注冊(cè)表包含系統(tǒng)重起時(shí)永久存在的數(shù)據(jù),它同每次系統(tǒng)重起時(shí)重新產(chǎn)生的設(shè)置信息一樣。在驅(qū)動(dòng)程序安裝時(shí),描述驅(qū)動(dòng)程序和NIC的數(shù)據(jù)存儲(chǔ)在注冊(cè)表,注冊(cè)表包含NIC驅(qū)動(dòng)程序可讀取的,用來初始化自身和NIC的適配器的特性*/IN PUNICODE_STRING RegistryPath) {NDIS_MINIPORT_CHARACTERISTICS MChars;../*1. 初始化包裹調(diào)用NdisMInitializeWrapper函數(shù)來使得微端口NIC驅(qū)動(dòng)程序和NDIS相聯(lián)系,NdisMInitializeWrapper分配一個(gè)結(jié)構(gòu)來代表這個(gè)聯(lián)系,來存儲(chǔ)NDIS庫所需的微端口相關(guān)的信息,并且返回NdisWrapperHandle它是代表這個(gè)微端口NIC驅(qū)動(dòng)程序結(jié)構(gòu)的句柄。當(dāng)驅(qū)動(dòng)程序注冊(cè)它的入口指針時(shí),它必須保留和傳遞這個(gè)句柄到NdisMRegisterMiniport。NDIS將使用NdisWrapperHandle來辯別微端口,微端口必須保留這個(gè)句柄,但它不應(yīng)試圖去訪問或解釋這個(gè)句柄*/NdisMInitializeWrapper(&NdisWrapperHandle, DriverObject, RegistryPath, NULL);../*2. 注冊(cè)微端口在DriverEntry函數(shù)調(diào)用NdisMInitializeWrapper產(chǎn)生與NDIS庫的一個(gè)連接后,它必須初始化一個(gè)NDIS_MINIPORT_CHARACTERISTICS類型的結(jié)構(gòu)。NDIS_MINIPORT_CHARACTERISTICS結(jié)構(gòu)指定了與微端口兼容的NDIS版本以及要求的入口點(diǎn)和由微端口提供的可選上層函數(shù)(MiniportXxx)。然后DriverEntry通過一個(gè)指向NDIS_MINIPORT_CHARACTERISTICS結(jié)構(gòu)的指針調(diào)用NdisMRegisterMiniport*//*2.1 指定NDIS版本號(hào)NDIS_MINIPORT_CHARACTERISTICS結(jié)構(gòu)中的MajorNdisVersion和MinorNdisVersion成員指定了與微端口兼容的NDIS版本。有效的NDIS版本號(hào)是5.0,4.0,或3.0。最新版本是5.0。NDIS繼續(xù)支持早期為4.0和3.0版編寫的驅(qū)動(dòng)程序。因此NDIS版本號(hào),包括包含在NDIS_MINIPORT_CHARACTERISTICS中的,都必須在微端口源代碼編釋時(shí)指定*/MChars.MajorNdisVersion = PASSTHRU_MAJOR_NDIS_VERSION;MChars.MinorNdisVersion = PASSTHRU_MINOR_NDIS_VERSION;/*2.2 注冊(cè)MiniportXxx函數(shù)NDIS_MINIPORT_CHARACTERISTICS結(jié)構(gòu)中每個(gè)地址成員必須被初始化——也就是說,它必須被設(shè)置成微端口提供的函數(shù)地址或NULL。微端口必須為所有MiniportXxx函數(shù)提供入口指針;否則NDIS將不允許裝載驅(qū)動(dòng)程序。MiniportXxx函數(shù)在ndis.h頭文件中定義。因?yàn)槲⒍丝谔峁㎝iniportXxx函數(shù)的地址,而不是名字,驅(qū)動(dòng)程序開發(fā)者可以自由的以他們喜好命名。一個(gè)合理的微端口開發(fā)策略是給這函數(shù)命名以使調(diào)試容易。例如,微端口NIC驅(qū)動(dòng)程序mp.sys命名入口指針為MPISR,MpSend等 一些MiniportXxx函數(shù)是可選擇的(之前說過,微端口驅(qū)動(dòng)只需要滿足NDIS最基本的可滿足運(yùn)行的接口規(guī)范即可)。例如,如果一個(gè)NIC不產(chǎn)生中斷,微端口必須輪詢它的NIC。這種微端口必須有一個(gè)MiniportTimer函數(shù),但不需要MiniportISR函數(shù)、MiniportEnableInterrupt函數(shù)或MiniportDisableInterrupt函數(shù) */MChars.InitializeHandler = MPInitialize;MChars.QueryInformationHandler = MPQueryInformation;MChars.SetInformationHandler = MPSetInformation;MChars.ResetHandler = NULL;MChars.TransferDataHandler = MPTransferData;MChars.HaltHandler = MPHalt; #ifdef NDIS51_MINIPORTMChars.CancelSendPacketsHandler = MPCancelSendPackets;MChars.PnPEventNotifyHandler = MPDevicePnPEvent;MChars.AdapterShutdownHandler = MPAdapterShutdown; #endif // NDIS51_MINIPORT MChars.CheckForHangHandler = NULL;MChars.ReturnPacketHandler = MPReturnPacket; MChars.SendHandler = NULL; // MPSend;MChars.SendPacketsHandler = MPSendPackets;Status = NdisIMRegisterLayeredMiniport(NdisWrapperHandle,&MChars,sizeof(MChars),&DriverHandle); }0x5:NDIS微端口初始化
當(dāng)一個(gè)微端口DriverEntry函數(shù)返回時(shí),NDIS立即為每個(gè)微端口管理的NIC,調(diào)用微端口的MiniportInitialize函數(shù)。如果一個(gè)新的NIC插入到系統(tǒng),將調(diào)用微端口的MiniportInitialize函數(shù)來初始化新安裝的設(shè)備。因此, MiniportInitialize函數(shù)和其他調(diào)用函數(shù),以及所有運(yùn)行在IRQL PASSIVE_LEVEL的函數(shù)都可被指定為可分頁的。通過使用NDIS_PAGABLE_FUNCTTON宏來指定代碼為可分頁的。初始化代碼不能用NDIS_INIT_FUNCTION宏來指定,這是由于標(biāo)記這種方式的代碼在初始化系統(tǒng)的啟動(dòng)結(jié)束之際,已不再映射了。僅有DriverEntry函數(shù)和從DrireEntry調(diào)用的函數(shù)可以傳遞到NDIS_INTI_FUNCTLON宏
NDIS_STATUS MPInitialize(OUT PNDIS_STATUS OpenErrorStatus,//微端口必須選擇它所支持或兼容的介質(zhì)。如果微端口沒有在MediumArray中發(fā)現(xiàn)它所支持的介質(zhì),將返回一個(gè)失敗狀態(tài)NDIS_STATUS_UNSUPPORTED_MEDIA OUT PUINT SelectedMediumIndex,IN PNDIS_MEDIUM MediumArray,IN UINT MediumArraySize,//MiniportAdapterHandle,一個(gè)可被NDIS引用的微端口句柄。微端口必須保留這個(gè)句柄,以使它在以后的調(diào)用中可傳遞給NDIS。例如,在NdisMRegisterAdapterShutdownHandler和NdisMInitializeTimer調(diào)用中IN NDIS_HANDLE MiniportAdapterHandle,//MiniportAdapterHandle,一個(gè)可被NDIS引用的參照微端口句柄。微端口必須保留這個(gè)句柄,以使它在以后的調(diào)用中可傳遞給NDIS。——例如,在NdisMRegisterAdapterShutdownHandler和NdisMInitializeTimer調(diào)用中IN NDIS_HANDLE WrapperConfigurationContext) {../*1. retrieving our adapter context and storing the Miniport handle in it*/pAdapt = NdisIMGetDeviceContext(MiniportAdapterHandle);pAdapt->MiniportIsHalted = FALSE; Medium = pAdapt->Medium; if (Medium == NdisMediumWan){Medium = NdisMedium802_3;} for (i = 0; i < MediumArraySize; i++){if (MediumArray[i] == Medium){*SelectedMediumIndex = i;break;}} if (i == MediumArraySize){Status = NDIS_STATUS_UNSUPPORTED_MEDIA;break;}../*2. 注冊(cè)NIC在微端口讀取它所需要的描述有關(guān)NIC特征的信息,并且按要求方式將此信息存儲(chǔ)在它的微端口適配器環(huán)境中之后,微端口調(diào)用NdisMSetAttributes或NdisMSetAttributeEx。在這個(gè)調(diào)用中,微端口作如下工作2.1) 傳遞由NDIS提供的微端口適配器句柄到微端口的MiniportInitialize函數(shù)2.2) 傳遞微端口適配器環(huán)境句柄,當(dāng)NDIS調(diào)用任何MiniportXxx函數(shù)時(shí),NDIS將這個(gè)適配器指定環(huán)境區(qū)域的句柄傳遞給微端口2.3) 指定它的NIC是否是一個(gè)總線管理器DMA設(shè)備2.4) 指定調(diào)用者的NIC的I/O總線接口類型通過NdisMSetAttributesEx,微端口可以指定有關(guān)超時(shí)和Token Ring錯(cuò)誤的NDIS缺省行為的變化中間層驅(qū)動(dòng)程序必須設(shè)置NDIS_ATTRIBUTE_INTERMEDLATE_DRIVER標(biāo)志來調(diào)用NdisMSetAttributerEx中間層驅(qū)動(dòng)程序也必須設(shè)置NDIS_ATTRIBUTE_NO_HALT_ON_SUSPEND標(biāo)志,來阻止微端口在系統(tǒng)轉(zhuǎn)向低耗能(睡眠)狀態(tài)時(shí),停止驅(qū)動(dòng)程序 一個(gè)非串行微端口必須設(shè)置NDIS_ATTRIBUTE_DESERIALIIE標(biāo)志來調(diào)用NdisMSetAttrributerEx。一個(gè)面向連接的微端口,總是非串行的,所以并不需要這么做*///3. Create an ioctl interface (VOID)PtRegisterDevice();.. }0x6:MiniportXxx:微端口接口函數(shù)邏輯實(shí)現(xiàn)
在初始化并注冊(cè)了微端口的描述句柄后(如果是在NDIS中間層協(xié)議中就僅僅是一個(gè)虛擬的微端口是配置,但是從內(nèi)核邏輯層次上來說,它就是一個(gè)標(biāo)準(zhǔn)的微端口),需要對(duì)微端口描述句柄中賦值的函數(shù)句柄進(jìn)行邏輯功能的實(shí)現(xiàn)
VOID MPSendPackets(IN NDIS_HANDLE MiniportAdapterContext,IN PPNDIS_PACKET PacketArray,IN UINT NumberOfPackets) {PADAPT pAdapt = (PADAPT)MiniportAdapterContext;FILTER_STATUS fStatus;NDIS_STATUS Status;UINT i;PVOID MediaSpecificInfo = NULL;UINT MediaSpecificInfoSize = 0;for (i = 0; i < NumberOfPackets; i++){PNDIS_PACKET Packet, MyPacket;Packet = PacketArray[i];fStatus = AnalysisPacket(Packet, FALSE);if(fStatus == STATUS_DROP){// 在這個(gè)函數(shù)中,任何一個(gè)被放棄的包,都必須調(diào)用NdisMSendComplete。NdisMSendComplete(ADAPT_MINIPORT_HANDLE(pAdapt),Packet,NDIS_STATUS_FAILURE);continue; // 丟棄之}else if(fStatus == STATUS_REDIRECT){// 轉(zhuǎn)發(fā)......// TODO.}.. ..NDIS_STATUS MPTransferData(OUT PNDIS_PACKET Packet,OUT PUINT BytesTransferred,IN NDIS_HANDLE MiniportAdapterContext,IN NDIS_HANDLE MiniportReceiveContext,IN UINT ByteOffset,IN UINT BytesToTransfer) {PADAPT pAdapt = (PADAPT)MiniportAdapterContext;NDIS_STATUS Status; if (IsIMDeviceStateOn(pAdapt) == FALSE){return NDIS_STATUS_FAILURE;}NdisTransferData(&Status,pAdapt->BindingHandle,MiniportReceiveContext,ByteOffset,BytesToTransfer,Packet,BytesTransferred);if(Status == NDIS_STATUS_SUCCESS){// 已經(jīng)完全傳遞好了,是一個(gè)完整的NDIS PacketFILTER_STATUS fStatus = AnalysisPacket(Packet, TRUE);if(fStatus == STATUS_DROP){Status = NDIS_STATUS_FAILURE; // 丟棄之}else if(fStatus == STATUS_REDIRECT){// 轉(zhuǎn)發(fā)......// TODO.}}return(Status); } ..NDIS_STATUS MPSend(IN NDIS_HANDLE MiniportAdapterContext,IN PNDIS_PACKET Packet,IN UINT Flags) {PADAPT pAdapt = (PADAPT)MiniportAdapterContext;NDIS_STATUS Status;FILTER_STATUS fStatus;PNDIS_PACKET MyPacket;PVOID MediaSpecificInfo = NULL;ULONG MediaSpecificInfoSize = 0; if (pAdapt->MPDeviceState > NdisDeviceStateD0){return NDIS_STATUS_FAILURE;}fStatus = AnalysisPacket(Packet, FALSE);if(fStatus == STATUS_DROP){return NDIS_STATUS_FAILURE; // 丟棄之}else if(fStatus == STATUS_REDIRECT){// 轉(zhuǎn)發(fā)......// 修改包中的目標(biāo)地址,和正常發(fā)送一樣將包向下發(fā)送// TODO.}.. ..對(duì)于NDIS過濾驅(qū)動(dòng)來說,我們可以在這里攔截到所有的本機(jī)將要外發(fā)的數(shù)據(jù)包
Relevant Link:
http://files.cnblogs.com/files/LittleHann/netdriver.pdf
4. NDIS中間層驅(qū)動(dòng)編程實(shí)例
雖然向上層提供了MiniportXxx函數(shù)的一個(gè)子集,但是事實(shí)上中間層驅(qū)動(dòng)程序并不管理物理的NIC。它只是向上層協(xié)議提供了一個(gè)或多個(gè)可以綁定的虛擬適配器。對(duì)于一個(gè)協(xié)議驅(qū)動(dòng)程序,一個(gè)由中間層驅(qū)動(dòng)程序提供的適配器就如同一個(gè)物理的NIC。當(dāng)協(xié)議驅(qū)動(dòng)程序發(fā)送包或向一個(gè)實(shí)際的適配器時(shí)發(fā)出請(qǐng)求時(shí),中間層驅(qū)動(dòng)程序?qū)鬟f這些包和請(qǐng)求到下層的微端口。當(dāng)下層微端口向上發(fā)出接收包的指示、響應(yīng)協(xié)議請(qǐng)求的信息或指示狀態(tài)信息時(shí),中間層驅(qū)動(dòng)程序?qū)⑦@些包、響應(yīng)、和狀態(tài)指示傳遞給綁定在虛擬適配器上的協(xié)議驅(qū)動(dòng)程序
中間層驅(qū)動(dòng)程序有如下幾種典型使用方法
為了使加載程序能夠準(zhǔn)確地識(shí)別,必須將中間層驅(qū)動(dòng)程序的初始入口點(diǎn)明確地指定為DriverEntry的形式。所有其他的驅(qū)動(dòng)程序?qū)С龊瘮?shù),像這里所描述的MiniportXxx和ProtocolXxx函數(shù),由于其地址傳給了NDIS,因此在設(shè)計(jì)時(shí)可由開發(fā)者任意指定名稱,在中間層驅(qū)動(dòng)程序中,DriverEntry至少應(yīng)該完成以下工作
1. 調(diào)用NdisMInitializeWrapper并保存在NdisWrapperHandle中返回的句柄 2. 傳遞上一步保存的句柄,調(diào)用NdisIMRegisterLayeredMiniport注冊(cè)驅(qū)動(dòng)程序的MiniportXxx函數(shù) 3. 如果驅(qū)動(dòng)程序隨后要綁定到低層NDIS驅(qū)動(dòng)程序上,則調(diào)用NdisRegisterProtocol注冊(cè)驅(qū)動(dòng)程序的ProtocolXxx函數(shù) 4. 如果驅(qū)動(dòng)程序?qū)С隽薓iniportXxx和ProtocolXxx函數(shù),那么調(diào)用NdisIMAssociateMiniport向NDIS通告有關(guān)驅(qū)動(dòng)程序的微端口低邊界和協(xié)議高邊界信息DriverEntry能夠?yàn)橹虚g層驅(qū)動(dòng)程序分配的所有共享資源初始化自旋鎖,例如驅(qū)動(dòng)程序用于跟蹤運(yùn)行中的連接和發(fā)送任務(wù)的構(gòu)件和內(nèi)存區(qū)
當(dāng)DriverEntry不能為驅(qū)動(dòng)程序分配用于網(wǎng)絡(luò)I/O操作的所有資源時(shí),它就應(yīng)該釋放先前已經(jīng)分配的任何資源并返回一個(gè)適當(dāng)?shù)腻e(cuò)誤狀態(tài)。例如,如果DriverEntry已經(jīng)調(diào)用了NdisMInitializeWrapper函數(shù),那么當(dāng)后續(xù)操作出錯(cuò)時(shí)必須調(diào)用NdisTerminateWrapper復(fù)位系統(tǒng)狀態(tài)。
中間層驅(qū)動(dòng)程序的DriverEntry函數(shù)能夠執(zhí)行一些全局初始化操作。然而,如果驅(qū)動(dòng)程序提供了實(shí)現(xiàn)對(duì)低層設(shè)備的打開和綁定功能的ProtocolBindAdapter函數(shù),那么驅(qū)動(dòng)程序就能夠讓ProtocolBindAdapter來分配綁定相關(guān)的系統(tǒng)資源,ProtocolBindAdapter根據(jù)要求為DeviceName設(shè)備進(jìn)行資源分配和綁定操作。DriverEntry必須初始化該包裹程序并注冊(cè)微端口驅(qū)動(dòng)程序。如果中間層驅(qū)動(dòng)程序?qū)С隽艘唤MProtocolXxx函數(shù)的話,也要注冊(cè)協(xié)議驅(qū)動(dòng)程序
如果中間層驅(qū)動(dòng)程序僅向NDIS導(dǎo)出了一組MiniportXxx函數(shù),只要向NDIS庫注冊(cè)這些函數(shù)即可
0x1:中間層過濾驅(qū)動(dòng)邏輯流程
1. 中間層驅(qū)動(dòng)的初始化 [passthru]1) 初始化小端口部分: NdisMInitializeWrapper -> NDIS_MINIPORT_CHARACTERISTICS –> NdisIMRegisterLayeredMiniport2) 初始化協(xié)議驅(qū)動(dòng)部分并關(guān)聯(lián)至小端口: NDIS_PROTOCOL_CHARACTERISTICS -> NdisRegisterProtocol -> NdisIMAssociateMiniport3) passthru初始化總體結(jié)構(gòu) 2. 封包結(jié)構(gòu)分析與過濾 [TCP端口過濾]要對(duì)TCP端口進(jìn)行過濾,很明顯必須得先對(duì)TCP協(xié)議封包的結(jié)構(gòu)進(jìn)行分析。不同協(xié)議的封包格式都不盡相同,對(duì)封包格式有興趣的童鞋可以使用wireshark多抓幾個(gè)進(jìn)行分析。TCP協(xié)議的封包總共有三個(gè)部分:第一是以太網(wǎng)部分,第二是IP部分(前兩部分是所有協(xié)議的封包都有的),第三就是TCP部分了。 3. 獲取封包 中間層驅(qū)動(dòng)初始化完畢后,只需要在初始化時(shí)設(shè)置的相應(yīng)回調(diào)函數(shù)進(jìn)行處理即可。回調(diào)函數(shù)設(shè)置好了,封包的發(fā)送與接收都會(huì)調(diào)用我們的回調(diào)函數(shù)。過濾函數(shù)一般都在相應(yīng)的收包發(fā)包函數(shù)內(nèi)部的前端,如此一來可以提升處理效率。當(dāng)然也省了不少麻煩(比如人家內(nèi)存都分配好了,結(jié)果你要丟包)。不過也不死板,可以根據(jù)實(shí)際情況進(jìn)行編寫。對(duì)于發(fā)送出去的數(shù)據(jù)包處理,只要在PassThru中的MiniportSend中加入必要的操作代碼,而對(duì)于接收的數(shù)據(jù)包時(shí),則需要在ProtocolReceive和ProtocolReceviePackets中加入必要的操作代碼 4. 過濾規(guī)則的編寫 NDIS封包的過濾有很多種處理方式:延遲或重新排序、加密或解密、壓縮或解壓、包路由(NAT網(wǎng)絡(luò)地址轉(zhuǎn)換、LBFO負(fù)載平衡和失效替換)。如果修改了封包的內(nèi)容的話,例如端口轉(zhuǎn)發(fā),需要重新修正校驗(yàn)和調(diào)整緩沖區(qū)和長(zhǎng)度等相關(guān)信息。修改時(shí)需要注意字節(jié)順序的問題 5. 驅(qū)動(dòng)程序加載方式:控制面板 -> 網(wǎng)絡(luò)連接 -> 本地連接 -> 屬性 -> 安裝 -> 服務(wù) -> 添加 -> 從磁盤安裝 -> 選擇我們inf文件,忽略一切警告一路確定即可NDIS中間層驅(qū)動(dòng)源代碼
http://files.cnblogs.com/files/LittleHann/passthru.zip0x2:中間層驅(qū)動(dòng)發(fā)送數(shù)據(jù)包
中間層驅(qū)動(dòng)之所以能被作為過濾驅(qū)動(dòng)使用,是因?yàn)樗幱谏舷陆煌ǖ囊獩_之地,上下往來的數(shù)據(jù)包它都能夠截獲并加以處理
當(dāng)上層驅(qū)動(dòng)將數(shù)據(jù)包發(fā)送到中間層驅(qū)動(dòng)時(shí),中間層驅(qū)動(dòng)能夠在它注冊(cè)的MpSend函數(shù)中接收到這些包描述符,這時(shí)候,中間層驅(qū)動(dòng)要么直接數(shù)據(jù)包描述符傳遞給底層驅(qū)動(dòng);要么將數(shù)據(jù)重新打包生成新的描述符后,再發(fā)送出去;或者直接拒絕這個(gè)包并返回一個(gè)錯(cuò)誤值(防火墻的包過濾功能,就是在這里體現(xiàn)的)
中間層驅(qū)動(dòng)要發(fā)送網(wǎng)絡(luò)數(shù)據(jù)包,最終都必須調(diào)用NdisSend/NdisSendPackets,要實(shí)現(xiàn)利用中間層驅(qū)動(dòng)進(jìn)行包發(fā)送,我們有如下幾種方法
0x3:中間層驅(qū)動(dòng)數(shù)據(jù)包過濾分析邏輯
FILTER_STATUS AnalysisPacket(PNDIS_PACKET Packet, BOOLEAN bRecOrSend) {FILTER_STATUS status = STATUS_PASS; // 默認(rèn)全部通過PNDIS_BUFFER NdisBuffer ;UINT TotalPacketLength = 0;UINT copysize = 0;UINT DataOffset = 0 ;UINT PhysicalBufferCount;UINT BufferCount ;PUCHAR pPacketContent = NULL;char* tcsPrintBuf = NULL;PUCHAR tembuffer = NULL ; UINT j;PTCPv4_HEADER pTCPHeader;USHORT iphdrlen;__try{status = NdisAllocateMemoryWithTag( &pPacketContent, 2048, TAG); if( status != NDIS_STATUS_SUCCESS ){status = NDIS_STATUS_FAILURE ;__leave;}NdisZeroMemory( pPacketContent, 2048 ) ;// 找到第一個(gè)Ndis_Buffer。然后通過通過NdisGetNextBuffer來獲得后續(xù)的NDIS_BUFFER。// 如果只是找第一個(gè)節(jié)點(diǎn),更快且方便的方法是調(diào)用NdisGetFirstBufferFromPacket。NdisQueryPacket(Packet, // NDIS_PACKET &PhysicalBufferCount,// 內(nèi)存中的物理塊數(shù)&BufferCount, // 多少個(gè)NDIS_BUFFER包&NdisBuffer, // 將返回第一個(gè)包&TotalPacketLength // 總共的包數(shù)據(jù)長(zhǎng)度);while(TRUE){// 取得Ndis_Buffer中存儲(chǔ)緩沖區(qū)的虛擬地址。// 這個(gè)函數(shù)的另一個(gè)版本是NdisQueryBuffer。// 后者在系統(tǒng)資源低或者甚至耗盡的時(shí)候,會(huì)產(chǎn)生Bug Check,導(dǎo)致藍(lán)屏。NdisQueryBufferSafe(NdisBuffer,&tembuffer,// 緩沖區(qū)地址©size, // 緩沖區(qū)大小NormalPagePriority);// 如果tembuffer為NULL,說明當(dāng)前系統(tǒng)資源匱乏。if(tembuffer != NULL){NdisMoveMemory( pPacketContent + DataOffset , tembuffer, copysize) ; DataOffset += copysize;}// 獲得下一個(gè)NDIS_BUFFER。// 如果得到的是一個(gè)NULL指針,說明已經(jīng)到了鏈?zhǔn)骄彌_區(qū)的末尾,我們的循環(huán)應(yīng)該結(jié)束了。NdisGetNextBuffer(NdisBuffer , &NdisBuffer ) ;if( NdisBuffer == NULL )break ;}// 取得數(shù)據(jù)包內(nèi)容后,下面將對(duì)其內(nèi)容進(jìn)行過濾。// 我們?cè)谶@個(gè)函數(shù)中的實(shí)現(xiàn),僅僅簡(jiǎn)單地打印一些可讀的Log信息。if(pPacketContent[12] == 8 && pPacketContent[13] == 0 ) //is ip packet{ PIP_HEADER pIPHeader = (PIP_HEADER)(pPacketContent + IP_OFFSET);DBGPRINT(("╔════════════IP協(xié)議結(jié)構(gòu)打印══════════\n"));DBGPRINT(("║ 4位版本號(hào): %2x\n", pIPHeader->Protocol));DBGPRINT(("║ 8位服務(wù)類型(TOS): %2x\n", pIPHeader->TOS));DBGPRINT(("║ 16位總長(zhǎng)度(字節(jié)): %2x\n", pIPHeader->TotLen));DBGPRINT(("║ 16位標(biāo)識(shí): %2x\n", pIPHeader->ID));DBGPRINT(("║ 13位片偏移: %2x\n", pIPHeader->FlagOff));DBGPRINT(("║ 8位生存時(shí)間(TTL): %2x\n", pIPHeader->TTL));DBGPRINT(("║ 8位協(xié)議: %2x\n", pIPHeader->Protocol));DBGPRINT(("║ 16位首部校驗(yàn)和: %2x\n", pIPHeader->Checksum));DBGPRINT(("╚═════════════════════════════════\n"));switch(pIPHeader->Protocol){case PROT_ICMP:if(bRecOrSend){DBGPRINT(("Receive ICMP packet [%d]\n",++ICMPRecv));}else{DBGPRINT(("Send ICMP packet [%d]\n",++ICMPSend));}//// 取得ICMP頭,做出你的過濾判斷。// if(ICMP_PASS){return STATUS_DROP;}break;case PROT_UDP:if(bRecOrSend){DBGPRINT(("Receive UDP packet [%d]\n",++UDPRecv));}else{DBGPRINT(("Send UDP packet [%d]\n",++UDPSend));}//// 取得UDP頭,做出你的過濾判斷。//break;case PROT_TCP:if(bRecOrSend){DBGPRINT(("Receive TCP packet [%d]\n",++TCPRecv));}else{DBGPRINT(("Send TCP packet [%d]\n",++TCPSend));}//// 取得TCP頭,做出你的過濾判斷。//iphdrlen = (pIPHeader->VIHL & 0x0f) * sizeof(ULONG);pTCPHeader = (PTCPv4_HEADER)(pPacketContent+14 + iphdrlen);//tcphdrlen = ((pTCPHeader->dataoffset & 0xf0) >> 4) * sizeof(ULONG);//tcphdrlen = htons(pIPHeader->ipLength) - iphdrlen;DBGPRINT(("╔════════════TCP協(xié)議結(jié)構(gòu)打印══════════\n"));DBGPRINT(("║ TCP 源端口: %2x\n",pTCPHeader->SourcePort));DBGPRINT(("║ TCP 目的端口:%2x\n",pTCPHeader->DestinationPort));DBGPRINT(("║ 32位序列號(hào): %2x\n",pTCPHeader->SequenceNumber));DBGPRINT(("║ 32位確認(rèn)號(hào): %2x\n",pTCPHeader->AckNumber));DBGPRINT(("║ 4位首部長(zhǎng)度: %2x\n",pTCPHeader->DataOffset));DBGPRINT(("║ 保留(16位): %2x\n",pTCPHeader->Flags));DBGPRINT(("║ 16位窗口大小:%2x\n",pTCPHeader->Window));DBGPRINT(("║ 校驗(yàn)和: %2x\n",pTCPHeader->Checksum));DBGPRINT(("║ 16位緊急指針:%2x\n",pTCPHeader->Urgent));DBGPRINT(("╚═════════════════════════════════\n"));/* if(pTCPHeader->SourcePort == TcpPort){return STATUS_DROP;}if(pTCPHeader->DestinationPort == TcpPort){return STATUS_DROP;}*/ break;}}else if(pPacketContent[12] == 8 && pPacketContent[13] == 6 ){if(bRecOrSend){DBGPRINT(("Receive ARP packet [%d]\n",++ARPRecv));//分析接收的ARP封包// if(ARP_PROTECT){}}else{DBGPRINT(("Send ARP packet [%d]\n",++ARPSend));//分析發(fā)送的ARP封包// if(ARP_PROTECT){}}}else{if(bRecOrSend)DbgPrint("Receive unknown packet\n");elseDbgPrint("Send unknown packet\n");}// 簡(jiǎn)單打印出包數(shù)據(jù)內(nèi)容status = NdisAllocateMemoryWithTag( &tcsPrintBuf, 2048*3, TAG); //分配內(nèi)存塊if( status != NDIS_STATUS_SUCCESS ){status = NDIS_STATUS_FAILURE ;__leave;}for(j=0;j<=DataOffset;j++)RtlStringCbPrintfA(tcsPrintBuf+j*3, 2048*3-j*3, "%2x ",pPacketContent[j]);DbgPrint(tcsPrintBuf);DbgPrint("\n");}__finally{if(pPacketContent)NdisFreeMemory(pPacketContent, 0, 0);if(tcsPrintBuf)NdisFreeMemory(tcsPrintBuf, 0, 0);}return STATUS_PASS; }0x4:用戶態(tài)和中間層驅(qū)動(dòng)通信
一種常見的需求是,希望從用戶態(tài)或其他的內(nèi)核模塊中,能夠直接和我們編寫的NDIS中間層驅(qū)動(dòng)進(jìn)行通信,我們可以安裝自己的分發(fā)函數(shù),并且在私有的分發(fā)函數(shù)中繼續(xù)調(diào)用舊的分發(fā)函數(shù)來繼續(xù)兼容原始的內(nèi)核邏輯,通過Hook設(shè)備創(chuàng)建函數(shù),在內(nèi)核態(tài)中創(chuàng)建我們私有的命名設(shè)備對(duì)象,從而在用戶態(tài)使用write、read等簡(jiǎn)單接口進(jìn)行ring3-ring0通信
// 這里實(shí)現(xiàn)Hook // systemAddDevice = DriverObject->DriverExtension->AddDevice; DriverObject->DriverExtension->AddDevice = myAddDevice;// Hook分發(fā)函數(shù) // systemCreate = DriverObject->MajorFunction[IRP_MJ_CREATE]; DriverObject->MajorFunction[IRP_MJ_CREATE] = myCreate;systemWrite = DriverObject->MajorFunction[IRP_MJ_WRITE]; DriverObject->MajorFunction[IRP_MJ_WRITE] = myWrite;systemRead = DriverObject->MajorFunction[IRP_MJ_READ]; DriverObject->MajorFunction[IRP_MJ_READ] = myRead;systemDeviceControl = DriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL]; DriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL] = myDeviceControl;5.NDIS協(xié)議層驅(qū)動(dòng)編程實(shí)例
協(xié)議驅(qū)動(dòng)程序和NDIS進(jìn)行通訊來發(fā)送和接收網(wǎng)絡(luò)數(shù)據(jù)包,并綁定和使用低層微端口NIC驅(qū)動(dòng)程序或中間層NDIS驅(qū)動(dòng)程序
1. NDIS協(xié)議驅(qū)動(dòng)程序可能在上邊界支持TDI,或者可以通過驅(qū)動(dòng)程序的傳送棧,其中包括棧頂支持TDI的棧,向高層核心模式驅(qū)動(dòng)程序?qū)С鏊接薪涌凇@?#xff0c;NDIS協(xié)議驅(qū)動(dòng)程序可能是多模塊傳輸實(shí)現(xiàn)的標(biāo)準(zhǔn)協(xié)議的最低層模塊,如最高層模塊支持TDI的TCP/IP協(xié)議 2. 低層NDIS驅(qū)動(dòng)程序通信來發(fā)送和接收數(shù)據(jù)包的協(xié)議驅(qū)動(dòng)程序總是使用NDIS提供的函數(shù)來進(jìn)行通信。例如,下邊界面向無連接的協(xié)議驅(qū)動(dòng)程序(和面向無連接介質(zhì)的低層驅(qū)動(dòng)程序進(jìn)行通信,如以太網(wǎng)、令牌環(huán)網(wǎng))必須調(diào)用NdisSend或者NdisSendPackets向低層NDIS驅(qū)動(dòng)程序發(fā)送數(shù)據(jù)包,也必須調(diào)用NdisRequest來產(chǎn)生或傳送查詢,以及用網(wǎng)絡(luò)相關(guān)的低層面向無連接驅(qū)動(dòng)程序支持的OID_XXX的設(shè)置信息請(qǐng)求 3. NDIS也提供一組隱藏低層操作系統(tǒng)細(xì)節(jié)的NdisXxx函數(shù)。例如,協(xié)議驅(qū)動(dòng)程序調(diào)用NdisInitializeEvent為同步目的創(chuàng)建事件,調(diào)用NdisInitializeListHead創(chuàng)建鏈表。使用那些函數(shù)的NDIS版本的協(xié)議驅(qū)動(dòng)程序在支持WIN32接口的微軟操作系統(tǒng)中可移植性更好。協(xié)議驅(qū)動(dòng)程序也可調(diào)用OS專用的核心模式支持的例程,像用KeInitializeEvent創(chuàng)建事件、用KeWaitForSingleObject同步兩個(gè)執(zhí)行線程0x1:協(xié)議DriverEntry及其初始化
對(duì)于驅(qū)動(dòng)程序初始化要求的入口點(diǎn),為了使引導(dǎo)程序能夠識(shí)別,必須被明確地命名為DriverEntry形式。所有其他的被描述為ProtocolXxx的導(dǎo)出函數(shù),由于其地址被傳給了NDIS,則可由開發(fā)者指定任何確定的名字
NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject,IN PUNICODE_STRING RegistryPath) { //零初始化一個(gè)NDIS_PROTOCOL_CHARACTERISTICS類型的結(jié)構(gòu)NDIS_PROTOCOL_CHARACTERISTICS PChars;..//填充協(xié)議描述句柄的成員字段NdisZeroMemory(&PChars, sizeof(NDIS_PROTOCOL_CHARACTERISTICS));PChars.MajorNdisVersion = PASSTHRU_PROT_MAJOR_NDIS_VERSION;PChars.MinorNdisVersion = PASSTHRU_PROT_MINOR_NDIS_VERSION;PChars.Name = Name;//OpenAdapterCompleteHandler: 這是一個(gè)必須提供的函數(shù)。如果協(xié)議驅(qū)動(dòng)程序?qū)disOpenAdapter的調(diào)用返回NDIS_STATUS_PENDING,則接著調(diào)用ProtocolOpenAdapterComplete來完成綁定操作PChars.OpenAdapterCompleteHandler = PtOpenAdapterComplete;//CloseAdapterCompleteHandler: 這是一個(gè)必須提供的函數(shù)。如果協(xié)議驅(qū)動(dòng)程序?qū)disCloseAdapter的調(diào)用返回NDIS_STATUS_PENDING,則接著調(diào)用ProtocolCloseAdapterComplete來完成解除綁定操作PChars.CloseAdapterCompleteHandler = PtCloseAdapterComplete;PChars.SendCompleteHandler = PtSendComplete;PChars.TransferDataCompleteHandler = PtTransferDataComplete;PChars.ResetCompleteHandler = PtResetComplete;PChars.RequestCompleteHandler = PtRequestComplete;//ReceiveHandler: 這是一個(gè)必須提供的函數(shù)。ProtocolReceive函數(shù)以前視緩沖區(qū)的指針為參數(shù)被調(diào)用執(zhí)行。如果該緩沖區(qū)包含的不是完整的接收到的網(wǎng)絡(luò)數(shù)據(jù)包,ProtocolReceive以協(xié)議分配的數(shù)據(jù)包描述符作為參數(shù),調(diào)用NdisTransferData指定協(xié)議分配緩沖區(qū)接收數(shù)據(jù)包的其余部分PChars.ReceiveHandler = PtReceive;//ReceiveCompleteHandler: 這是一個(gè)必須提供的函數(shù)。ProtocolReceiveComplete用來指出:以前指示給ProtocolReceive 的接收數(shù)據(jù)包現(xiàn)在可以延期處理PChars.ReceiveCompleteHandler = PtReceiveComplete;PChars.StatusHandler = PtStatus;PChars.StatusCompleteHandler = PtStatusComplete;//BindAdapterHandler: 這是一個(gè)必須提供的函數(shù)。NDIS調(diào)用該函數(shù)請(qǐng)求協(xié)議驅(qū)動(dòng)程序綁定到低層網(wǎng)卡或虛擬網(wǎng)卡上,網(wǎng)卡名作為該處理程序的參數(shù)傳遞PChars.BindAdapterHandler = PtBindAdapter;//UnbindAdapterHandler: 這是一個(gè)必須提供的函數(shù)。NDIS調(diào)用ProtocolUnbindAdapter釋放對(duì)低層網(wǎng)卡或虛擬網(wǎng)卡的綁定,網(wǎng)卡名作為參數(shù)傳遞。當(dāng)綁定成功解除時(shí),ProtocolUnbindAdapter函數(shù)調(diào)用NdisCloseAdapter并釋放資源PChars.UnbindAdapterHandler = PtUnbindAdapter;PChars.UnloadHandler = PtUnloadProtocol;PChars.ReceivePacketHandler = PtReceivePacket;PChars.PnPEventHandler= PtPNPHandler;/*1. 注冊(cè)NDIS協(xié)議驅(qū)動(dòng)程序該調(diào)用的返回句柄NdisProtocolHandler對(duì)協(xié)議驅(qū)動(dòng)程序是透明的,協(xié)議驅(qū)動(dòng)程序必須保存該句柄并在將來對(duì)NDIS的調(diào)用中作為輸入?yún)?shù)傳遞,例如,打開低層適配器*/NdisRegisterProtocol(&Status,&ProtHandle,&PChars,sizeof(NDIS_PROTOCOL_CHARACTERISTICS)); } ..0x2:ProtocolXxx協(xié)議驅(qū)動(dòng)接口邏輯功能實(shí)現(xiàn)
對(duì)于NDIS過濾驅(qū)動(dòng)來說,最重要的要實(shí)現(xiàn)的就是數(shù)據(jù)包接收函數(shù)
INT PtReceivePacket(IN NDIS_HANDLE ProtocolBindingContext,IN PNDIS_PACKET Packet) {PADAPT pAdapt =(PADAPT)ProtocolBindingContext;NDIS_STATUS Status;PNDIS_PACKET MyPacket;BOOLEAN Remaining;FILTER_STATUS fStatus; if ((!pAdapt->MiniportHandle) || (pAdapt->MPDeviceState > NdisDeviceStateD0)){return 0;}fStatus = AnalysisPacket(Packet, TRUE);if(fStatus == STATUS_DROP){return 0;// 丟棄之}else if(fStatus == STATUS_REDIRECT){// 轉(zhuǎn)發(fā)......// TODO.}.. ..VOID PtTransferDataComplete(IN NDIS_HANDLE ProtocolBindingContext,IN PNDIS_PACKET Packet,IN NDIS_STATUS Status,IN UINT BytesTransferred) {PADAPT pAdapt =(PADAPT)ProtocolBindingContext;// 到達(dá)這里,說明MPTransferData返回了PendingFILTER_STATUS fStatus = AnalysisPacket(Packet, TRUE);if(fStatus == STATUS_DROP){Status = NDIS_STATUS_FAILURE;// 丟棄之}else if(fStatus == STATUS_REDIRECT){// 轉(zhuǎn)發(fā)......// TODO.}if(pAdapt->MiniportHandle){NdisMTransferDataComplete(pAdapt->MiniportHandle,Packet,Status,BytesTransferred);} }..NDIS_STATUS PtReceive(IN NDIS_HANDLE ProtocolBindingContext,IN NDIS_HANDLE MacReceiveContext,IN PVOID HeaderBuffer,IN UINT HeaderBufferSize,IN PVOID LookAheadBuffer,IN UINT LookAheadBufferSize,IN UINT PacketSize) {PADAPT pAdapt = (PADAPT)ProtocolBindingContext;PNDIS_PACKET MyPacket, Packet = NULL;NDIS_STATUS Status = NDIS_STATUS_SUCCESS;ULONG Proc = KeGetCurrentProcessorNumber(); if ((!pAdapt->MiniportHandle) || (pAdapt->MPDeviceState > NdisDeviceStateD0)){Status = NDIS_STATUS_FAILURE;}else do{//// Get at the packet, if any, indicated up by the miniport below.//Packet = NdisGetReceivedPacket(pAdapt->BindingHandle, MacReceiveContext);if (Packet != NULL){FILTER_STATUS fStatus = AnalysisPacket(Packet, TRUE);if(fStatus == STATUS_DROP){Status = NDIS_STATUS_FAILURE;// 丟棄之}else if(fStatus == STATUS_REDIRECT){// 轉(zhuǎn)發(fā)......// TODO.}.. ..我們可以在協(xié)議驅(qū)動(dòng)的數(shù)據(jù)接收函數(shù)中實(shí)現(xiàn)Hook,插入過濾檢測(cè)邏輯
Relevant Link:
?
http://www.ndis.com/ http://baike.baidu.com/view/1033533.htm http://www.cppblog.com/aurain/archive/2009/02/22/74621.html http://bbs.pediy.com/showthread.php?t=65053 NDIS協(xié)議驅(qū)動(dòng)程序設(shè)計(jì).pdf http://www.cnblogs.com/RodYang/p/3221173.html6.TDI驅(qū)動(dòng)
0x1:TDI摘要
TDI(Transport Driver Interface傳輸層接口)僅在windows2000~windows vista被支持,取代TDI的新技術(shù)被稱為WFP(Windows Filtering Platform windows過濾平臺(tái))我們?cè)谟脩魬B(tài)使用socket進(jìn)行socket創(chuàng)建、發(fā)送、接收數(shù)據(jù),通過TDI接口連接NDIS協(xié)議驅(qū)動(dòng),TDI實(shí)際上是一套接口的集合,這套接口連接著socket和NDIS協(xié)議驅(qū)動(dòng)
TDI協(xié)議驅(qū)動(dòng)生成了一個(gè)有名設(shè)備,這個(gè)設(shè)備能接受一組請(qǐng)求
1.生成請(qǐng)求(IRP_MJ_CREATE):用于生成socket
2.控制請(qǐng)求(IRP_MJ_DEVICE_CONTROL、IRP_MJ_INTERNAL_DEVICE_CONTROL):用來實(shí)現(xiàn)所有復(fù)雜的功能,例如bind、connect、listen、accept、send、recv)
我們知道,windows內(nèi)核和核心概念就是設(shè)備棧,既然NDIS協(xié)議驅(qū)動(dòng)也生成了設(shè)備,我們就可以生成新的過濾設(shè)備來綁定這些設(shè)備,這樣,從應(yīng)用層發(fā)來的請(qǐng)求首先會(huì)被過濾設(shè)備截獲,很多防火墻顯示某個(gè)應(yīng)用程序要建立某個(gè)連接、打開了某個(gè)端口,就是用這種技術(shù)實(shí)現(xiàn)的
TDI過濾相比于NDIS中間層過濾的一大優(yōu)勢(shì)就是TDI離應(yīng)用層比較近,容易得到應(yīng)用層的相關(guān)信息,例如一個(gè)連接的建立時(shí)可以獲得相應(yīng)進(jìn)程號(hào)(這也是我們?cè)诓煌瑢哟芜M(jìn)行Hook的時(shí)候需要進(jìn)行技術(shù)架構(gòu)權(quán)衡),但是同時(shí),如果黑客想寫一個(gè)木馬來繞過TDI接口,可以不調(diào)用一般網(wǎng)絡(luò)API來避免調(diào)用TDI接口,NDIS用中間層進(jìn)行過濾相對(duì)底層,從應(yīng)用層很難繞過
7.TDI的過濾框架
0x1:綁定TDI的設(shè)備
提供TDI接口的windows協(xié)議驅(qū)動(dòng)將在windows內(nèi)核中生成所謂的TDI設(shè)備,設(shè)備是由路徑和名字的,例如:
1.\Device\Tcp: TCP協(xié)議
2.\Device\Udp: UDP協(xié)議
3.\Device\RawIp:原始IP包
我們?nèi)绻^濾TDI接口,那么首先就要生成自己的設(shè)備,用來綁定當(dāng)前主機(jī)存在的協(xié)議驅(qū)動(dòng)
0x2:唯一的分發(fā)函數(shù)
如果一個(gè)驅(qū)動(dòng)生成了設(shè)備,那么設(shè)置處理windows發(fā)送給這些設(shè)備請(qǐng)求的分發(fā)處理函數(shù)
0x3:過濾框架的實(shí)現(xiàn)
下面我們繼續(xù)討論構(gòu)建一個(gè)TDI過濾框架,這個(gè)內(nèi)核模塊可以過濾3種協(xié)議設(shè)備的TDI請(qǐng)求,框架綁定了3個(gè)設(shè)備(和NDIS一樣,如果想要接收所有本機(jī)的收包,就要逐個(gè)去綁定底層的所有的微端口),這3個(gè)設(shè)備是; \Device\Tcp: TCP協(xié)議、\Device\Udp: UDP協(xié)議、\Device\RawIp: 原始IP包
#include <ntddk.h> #include <tdikrnl.h> .. /* device objects for: 保存設(shè)備指針的全局變量 */ PDEVICE_OBJECTg_tcpfltobj = NULL, // \Device\Tcpg_udpfltobj = NULL, // \Device\Udpg_ipfltobj = NULL, // \Device\RawIpg_devcontrol = NULL, // control device (exclusive access only!)g_devnfo = NULL; // information device .. /* deinitialization 對(duì)已生成和綁定的設(shè)備進(jìn)行解綁和刪除 */ VOID OnUnload(IN PDRIVER_OBJECT DriverObject) {// Add by tan wen. tdifw_driver_unload(DriverObject);#ifndef USE_TDI_HOOKINGd_n_d_device(DriverObject, g_tcpoldobj, g_tcpfltobj);d_n_d_device(DriverObject, g_udpoldobj, g_udpfltobj);d_n_d_device(DriverObject, g_ipoldobj, g_ipfltobj); #elseif (g_hooked)hook_tcpip(&g_old_DriverObject, FALSE); #endif// delete control device and symbolic linkif (g_devcontrol != NULL) {UNICODE_STRING linkname;RtlInitUnicodeString(&linkname, L"\\??\\tdifw");IoDeleteSymbolicLink(&linkname);IoDeleteDevice(g_devcontrol);}// delete info device and symbolic linkif (g_devnfo != NULL) {UNICODE_STRING linkname;RtlInitUnicodeString(&linkname, L"\\??\\tdifw_nfo");IoDeleteSymbolicLink(&linkname);IoDeleteDevice(g_devnfo);}filter_free();ot_free();conn_state_free(); // call after ot_free()memtrack_free();} .. extern NTSTATUS tdifw_driver_entry(IN PDRIVER_OBJECT theDriverObject,IN PUNICODE_STRING theRegistryPath);/* initialization */ NTSTATUS DriverEntry(IN PDRIVER_OBJECT theDriverObject,IN PUNICODE_STRING theRegistryPath) {NTSTATUS status = STATUS_SUCCESS;int i;UNICODE_STRING name, linkname;if(status != STATUS_SUCCESS)goto done;memtrack_init();KeInitializeSpinLock(&g_traffic_guard);#ifdef USE_TDI_HOOKINGKdPrint(("[tdi_fw] WARNING! Using unstable working mode: TDI hooking!\n")); #endifstatus = ot_init();if (status != STATUS_SUCCESS) {KdPrint(("[tdi_fw] DriverEntry: ot_init: 0x%x\n", status));goto done;}status = filter_init();if (status != STATUS_SUCCESS) {KdPrint(("[tdi_fw] DriverEntry: filter_init: 0x%x\n", status));goto done;}status = conn_state_init();if (status != STATUS_SUCCESS) {KdPrint(("[tdi_fw] DriverEntry: conn_state_init: 0x%x\n", status));goto done;}//設(shè)置分發(fā)函數(shù)for (i = 0; i < IRP_MJ_MAXIMUM_FUNCTION; i++)theDriverObject->MajorFunction[i] = DeviceDispatch;#if DBG// register UnLoad proceduretheDriverObject->DriverUnload = OnUnload; #endif/* create control device and symbolic link */RtlInitUnicodeString(&name, L"\\Device\\tdifw");status = IoCreateDevice(theDriverObject,0,&name,0,0,TRUE, // exclusive!&g_devcontrol);if (status != STATUS_SUCCESS) {KdPrint(("[tdi_fw] DriverEntry: IoCreateDevice(control): 0x%x!\n", status));goto done;}RtlInitUnicodeString(&linkname, L"\\??\\tdifw");status = IoCreateSymbolicLink(&linkname, &name);if (status != STATUS_SUCCESS) {KdPrint(("[tdi_fw] DriverEntry: IoCreateSymbolicLink: 0x%x!\n", status));goto done;}RtlInitUnicodeString(&name, L"\\Device\\tdifw_nfo");status = IoCreateDevice(theDriverObject,0,&name,0,0,FALSE, // not exclusive!&g_devnfo);if (status != STATUS_SUCCESS) {KdPrint(("[tdi_fw] DriverEntry: IoCreateDevice(nfo): 0x%x!\n", status));goto done;}RtlInitUnicodeString(&linkname, L"\\??\\tdifw_nfo");status = IoCreateSymbolicLink(&linkname, &name);if (status != STATUS_SUCCESS) {KdPrint(("[tdi_fw] DriverEntry: IoCreateSymbolicLink: 0x%x!\n", status));goto done;}#ifndef USE_TDI_HOOKING// Add by tanwen.// Call this function before hooking! So that when tdifw_filter() happened, // Our driver has been initialized.status = tdifw_driver_entry(theDriverObject,theRegistryPath);//生成過濾設(shè)備綁定TCP設(shè)備status = c_n_a_device(theDriverObject, &g_tcpfltobj, &g_tcpoldobj, L"\\Device\\Tcp");if (status != STATUS_SUCCESS) {KdPrint(("[tdi_fw] DriverEntry: c_n_a_device: 0x%x\n", status));goto done;}//生成過濾設(shè)備綁定UDP設(shè)備status = c_n_a_device(theDriverObject, &g_udpfltobj, &g_udpoldobj, L"\\Device\\Udp");if (status != STATUS_SUCCESS) {KdPrint(("[tdi_fw] DriverEntry: c_n_a_device: 0x%x\n", status));goto done;}//生成過濾設(shè)備綁定RawIp設(shè)備status = c_n_a_device(theDriverObject, &g_ipfltobj, &g_ipoldobj, L"\\Device\\RawIp");if (status != STATUS_SUCCESS) {KdPrint(("[tdi_fw] DriverEntry: c_n_a_device: 0x%x\n", status));goto done;}#else /* USE_TDI_HOOKING */// Add by tanwen.// Call this function before hooking! So that when tdifw_filter() happened, // Our driver has been initialized.status = tdifw_driver_entry(theDriverObject,theRegistryPath);/* get device objects for tcp/udp/ip */status = get_device_object(L"\\Device\\Tcp", &g_tcpfltobj);if (status != STATUS_SUCCESS) {KdPrint(("[tdi_fw] DriverEntry: get_device_object(tcp): 0x%x\n", status));goto done;}status = get_device_object(L"\\Device\\Udp", &g_udpfltobj);if (status != STATUS_SUCCESS) {KdPrint(("[tdi_fw] DriverEntry: get_device_object(udp): 0x%x\n", status));goto done;}status = get_device_object(L"\\Device\\RawIp", &g_ipfltobj);if (status != STATUS_SUCCESS) {KdPrint(("[tdi_fw] DriverEntry: get_device_object(ip): 0x%x\n", status));goto done;}/* hook tcpip */status = hook_tcpip(&g_old_DriverObject, TRUE);if (status != STATUS_SUCCESS) {KdPrint(("[tdi_fw] DriverEntry: hook_driver: 0x%x\n", status));goto done;}g_hooked = TRUE;#endif /* USE_TDI_HOOKING */status = STATUS_SUCCESS;done:if (status != STATUS_SUCCESS) {// cleanupOnUnload(theDriverObject);}return status; }0x4:主要過濾的請(qǐng)求類型
我們已經(jīng)了解了TDI過濾框架,接下來繼續(xù)討論應(yīng)該過濾什么請(qǐng)求,假設(shè)作為一個(gè)防火墻或者一個(gè)安全監(jiān)控軟件,希望監(jiān)控當(dāng)前計(jì)算機(jī)內(nèi)的軟件對(duì)網(wǎng)絡(luò)進(jìn)行的訪問,例如連接請(qǐng)求、連接IP地址、端口等信息,我們必須進(jìn)一步了解TDI接口的請(qǐng)求方式
所有的請(qǐng)求(IRP)都在DeviceDispatch中處理,IRP已主功能號(hào)和次功能號(hào)決定它的類型
TDI接口的調(diào)用總是遵循著: "打開->設(shè)備控制->關(guān)閉"的流程,我們將截取這些請(qǐng)求中的信息,來進(jìn)行過濾
0x5:code example
/// /// @file tdifw_smpl.c /// @author crazy_chu /// @date 2009-4-11 /// @brief 使用tdi_fw.lib的一個(gè)例子。 /// /// 免責(zé)聲明 /// 本代碼為示例代碼。未經(jīng)詳盡測(cè)試,不保證可靠性。作者對(duì) /// 任何人使用此代碼導(dǎo)致的直接和間接損失不負(fù)責(zé)任。 /// #include "..\inc\tdi_fw\tdi_fw_lib.h"NTSTATUS tdifw_driver_entry(IN PDRIVER_OBJECT theDriverObject,IN PUNICODE_STRING theRegistryPath) {//直接返回成功即可return STATUS_SUCCESS; }VOID tdifw_driver_unload(IN PDRIVER_OBJECT DriverObject) {//沒有資源需要釋放return; }NTSTATUS tdifw_user_device_dispatch(IN PDEVICE_OBJECT DeviceObject, IN PIRP irp) {//不會(huì)有任何請(qǐng)求到達(dá)這里。我們沒有注冊(cè)過自定義設(shè)備。return STATUS_UNSUCCESSFUL; } u_short tdifw_ntohs (u_short netshort) {u_short result = 0;((char *)&result)[0] = ((char *)&netshort)[1];((char *)&result)[1] = ((char *)&netshort)[0];return result; }int tdifw_filter(struct flt_request *request) {if(request->proto == IPPROTO_TCP){struct sockaddr_in* from = (struct sockaddr_in*)&request->addr.from;struct sockaddr_in* to = (struct sockaddr_in*)&request->addr.to;// 然后打印協(xié)議類型DbgPrint("tdifw_smpl: protocol type = TCP\r\n");// 打印當(dāng)前進(jìn)程的PID。DbgPrint("tdifw_smpl: currect process = %d\r\n",request->pid);// 打印事件類型switch(request->type){case TYPE_CONNECT:DbgPrint("tdifw_smpl: event: CONNECT\r\n");break;case TYPE_DATAGRAM:DbgPrint("tdifw_smpl: event: DATAGRAM\r\n");break;case TYPE_CONNECT_ERROR:DbgPrint("tdifw_smpl: event: CONNECT ERROR\r\n");break;case TYPE_LISTEN:DbgPrint("tdifw_smpl: event: LISTEN\r\n");break;case TYPE_NOT_LISTEN:DbgPrint("tdifw_smpl: event: NOT LISTEN\r\n");break;case TYPE_CONNECT_CANCELED:DbgPrint("tdifw_smpl: event: CONNECT CANCELED\r\n");break;case TYPE_CONNECT_RESET:DbgPrint("tdifw_smpl: event: CONNECT RESET\r\n");break;case TYPE_CONNECT_TIMEOUT:DbgPrint("tdifw_smpl: event: CONNECT TIMEOUT\r\n");break;case TYPE_CONNECT_UNREACH:DbgPrint("tdifw_smpl: event: CONNECT UNREACH\r\n");break;default:break;}// 如果是TCP,我們打印更多的內(nèi)容。包括方向,來源IP地址// 目的IP地址,等等。但是對(duì)于其他協(xié)議就不打印了。DbgPrint("tdifw_smpl: direction = %d\r\n",request->direction);DbgPrint("tdifw_smpl: src port = %d\r\n",tdifw_ntohs(from->sin_port));DbgPrint("tdifw_smpl: src ip = %d.%d.%d.%d\r\n",from->sin_addr.S_un.S_un_b.s_b1,from->sin_addr.S_un.S_un_b.s_b2,from->sin_addr.S_un.S_un_b.s_b3,from->sin_addr.S_un.S_un_b.s_b4);DbgPrint("tdifw_smpl: dst port = %d\r\n",tdifw_ntohs(to->sin_port));DbgPrint("tdifw_smpl: dst ip = %d.%d.%d.%d\r\n",to->sin_addr.S_un.S_un_b.s_b1,to->sin_addr.S_un.S_un_b.s_b2,to->sin_addr.S_un.S_un_b.s_b3,to->sin_addr.S_un.S_un_b.s_b4);}return FILTER_ALLOW; }Relevant Link:
?
http://blog.csdn.net/charlesprince/article/details/5924376 http://www.cnblogs.com/welfear/archive/2011/02/14/1954454.html http://wenku.baidu.com/view/b9d481c758f5f61fb736663b.html8.WFP(Windows Filtering Platform windows過濾平臺(tái))
Relevant Link:
http://os.51cto.com/art/200912/167639.htm https://msdn.microsoft.com/en-us/library/windows/hardware/dn653358(v=vs.85).aspx http://blog.csdn.net/a809146548/article/details/45028871總結(jié)
以上是生活随笔為你收集整理的Windows网络驱动、NDIS驱动(微端口驱动、中间层驱动、协议驱动)、TDI驱动(网络传输层过滤)、WFP(Windows Filtering Platfrom))的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 禁止和恢复WIN7驱动强制签名
- 下一篇: WFP开发学习笔记