`
yexin218
  • 浏览: 973121 次
  • 性别: Icon_minigender_1
  • 来自: 珠海
社区版块
存档分类
最新评论

基于NDIS Filter 抓包

阅读更多

NDIS 6.0中有了一个新框架,号称比NDIS IMD更牛B。开始关注这个东西是因为卡巴的防火墙取个名字叫Kaspersky Anti-Virus NDIS Filter ,又听说WDK中才有新框架,但是卡巴老早就在用了,就觉得卡巴真牛。(后来看Filter 的时候,自己的Filter驱动既不能在编译到XP平台的,编译VISTA的安装上去也没用,怀疑卡巴就是一个IMD的驱动,取了个名字NDIS Filter 而已,有空F5下。)
说正题,微软建议使用NDIS Filter替代NDIS IMD。Filter Driver比IMD驱动更容易实现,Filter驱动被插入在Miniport驱动和Protocol Driver之间。Filter Driver会 attach到Miniport Driver上,对于Protocol Driver来说,Filter Driver是透明的。Filter Driver与任何设备对象无关。Filter Driver可以动态的安装和卸载。在IMD驱动的里面,你需要注册一个Miniport和Protocol两层驱动。(所以以前的IMD有两个相关联的 INF文件。)Filter驱动就没那么麻烦,直接一步搞定。我也不会怎么写理论的文章直接看图吧!

如下图所示:

 Filter Driver 框架介绍
WDK中\src\network\ndis\filter中Filter的主要框架,在MSDN文档里面有对这个框架的详细解释,这里我们只简单说几个 函数。

DriverEntry
// NDIS调用这个函数为一些数据结构分配内存和作初始化工作
// 主要的结构体有:
//NDIS_FILTER_DRIVER_CHARACTERISTICS 指定一些Filter驱动的特性,并把这些参数传给NDIS。
// 主要的函数:
// NdisFRegisterFilterDriver 把Filter驱动注册给NDIS

FilterAttach
// NDIS调用这个函数为一些数据结构分配内存和作初始化工作
// 主要的结构体有:
// NDIS_FILTER_ATTACH_PARAMETERS 初始化参数
// NDIS_FILTER_ATTRIBUTES Filter模块的属性

FilterRegisterDevice
// 填充分派函数,初始化设备属性。并注册。
// 主要的结构体有:
// NDIS_FILTER_ATTACH_PARAMETERS 初始化参数
// NDIS_FILTER_ATTRIBUTES Filter模块的属性

FilterSendNetBufferLists
// 用这个函数去过滤一个NET_BUFFER_LIST的发送
// 主要的结构体有:
// NET_BUFFER_LIST NET_BUFFER的链表

FilterReceiveNetBufferLists
// 用这个函数去过滤一个NET_BUFFER_LIST的接收
// 主要的结构体有:
// NET_BUFFER_LIST NET_BUFFER的链表

如果要读取数据包,那么有两个结构体就相当重要了。它们是NET_BUFFER_LIST和 NET_BUFFER。定义如下:

typedef	struct	_NET_BUFFER_LIST{
		NET_BUFFER_LIST_HEADER			NetBufferListHeader;
		PNET_BUFFER_LIST_CONTEXT		Context;
		PNET_BUFFER_LIST				ParentNetBufferList;
		NDIS_HANDLE						NdisPoolHandle;
		DECLSPEC_ALIGN(MEMORY_ALLOCATION_ALIGNMENT)PVOID		NdisReserved[2];
		DECLSPEC_ALIGN(MEMORY_ALLOCATION_ALIGNMENT)PVOID		ProtocolReserved[4];
		DECLSPEC_ALIGN(MEMORY_ALLOCATION_ALIGNMENT)PVOID		MiniportReserved[2];
		PVOID							Scratch;
		NDIS_HANDLE						SourceHandle;
		ULONG							NblFlags;
		LONG							ChildRefCount;
		ULONG							Flags;
		NDIS_STATUS						Status;
		PVOID							NetBufferListInfo[MaxNetBufferListInfo];
	}NET_BUFFER_LIST,*PNET_BUFFER_LIST;
 
	typedef	struct	_NET_BUFFER	{
		NET_BUFFER_HEADER	NetBufferHeader;
		USHORT		ChecksumBias;
		USHORT		Reserved;
		NDIS_HANDLE	NdisPoolHandle;
		DECLSPEC_ALIGN(MEMORY_ALLOCATION_ALIGNMENT)PVOID	NdisReserved[2];
		DECLSPEC_ALIGN(MEMORY_ALLOCATION_ALIGNMENT)PVOID	ProtocolReserved[6];
		DECLSPEC_ALIGN(MEMORY_ALLOCATION_ALIGNMENT)PVOID MiniportReserved[4];
		NDIS_PHYSICAL_ADDRESS	DataPhysicalAddress;	// was NdisReserved1;
	} NET_BUFFER,	*PNET_BUFFER;

 另外,还有一些宏定义。
NET_BUFFER_LIST_FIRST_NB 从NET_BUFFER_LIST结构中获得第一个NDIS_BUFFER
NET_BUFFER_DATA_OFFSET 从NDIS_BUFFER中获得DATA的偏移
NET_BUFFER_FIRST_MDL 从NDIS_BUFFER中获得第一个MDL
NET_BUFFER_DATA_LENGTH 取得DATA的长度
更具体的自己去看MSDN了。 我根据MSDN和GOOGLE的指点大概写了一段代码了读取数据包。读出数据包的地址和长度。

void  ReadNetBuffer( PNET_BUFFER_LIST NetBufferLists )
{
	PUCHAR				data,info;
	ULONG				len,i,offset=0;
	PNET_BUFFER_LIST	CurrNbl;
	PNET_BUFFER			Currbuff;
	PMDL				mdl;
	int					DataLen;
 
	CurrNbl = NetBufferLists;
 
	while (CurrNbl)
	{
		Currbuff = NET_BUFFER_LIST_FIRST_NB(CurrNbl);
 
		while(Currbuff)
		{
			offset =	NET_BUFFER_DATA_OFFSET(Currbuff);
			mdl =		NET_BUFFER_FIRST_MDL(Currbuff);
			DataLen	=	NET_BUFFER_DATA_LENGTH(Currbuff);
 
			if ( mdl && DataLen )
			{
				data = (UCHAR*)MmGetSystemAddressForMdlSafe( mdl,NormalPagePriority );
				if(data)
				{
					info = data + offset;
					KdPrint((" PacketData : %p , PacketSize : %d ",info,DataLen));
				}
 
			}
			Currbuff = NET_BUFFER_NEXT_NB(Currbuff);
		}
		CurrNbl = NET_BUFFER_LIST_NEXT_NBL(CurrNbl);
	}
}

 

本文转自: http://www.softrce.net/archives/189

  • 大小: 10.5 KB
  • 大小: 14.6 KB
分享到:
评论

相关推荐

    基于Pasthru的扩展 在NDIS层 抓包分析

    基于Passthru的扩展,抓取IP数据包,并在内核中利用队列、系统线程实时将IP数据包解析到磁盘文件中,同时提供用户控制,在RING3使用SDK编写界面。 本程序可以帮助您熟悉驱动编写、windows编程、用户态和内核态交互...

    NDIS Filter Drivers指南

    ### NDIS Filter Drivers指南 #### 一、介绍NDIS Filter Drivers NDIS (Network Driver Interface Specification) Filter Drivers 是一种特殊的网络驱动程序,它们被设计用于在网络驱动程序栈中执行过滤和其他高级...

    NDIS-filter.rar_NDIS Filter_Windows NDIS Filter_filter_ndis_ndis

    "NDIS-filter.rar_NDIS Filter_Windows NDIS Filter_filter_ndis_ndis"这个压缩包包含的资源是关于NDIS Filter驱动的实例,其中"NDisMonitor_v1-00"和"NDisMonitor_v1-00_plusSOURCE"可能是两个版本的监控工具,用于...

    NDIS Filter Drivers编写介绍 4pdf

    NDIS Filter Drivers是网络驱动程序接口规范(Network Driver Interface Specification)的一个重要组成部分,主要用于在网络堆栈中添加自定义逻辑或扩展功能。NDIS6是Windows Vista及后续版本中引入的NDIS版本,它...

    Filter驱动开发笔记

    基于NDISFilter抓包 - **抓包工具**:使用NDISFilter开发的抓包工具可以实现对网络数据包的实时捕获。 - **应用场景**:网络监控、故障排查等。 #### 30. 大数据是否需要封装在多个MDL中发送 - **MDL**:当数据...

    NDIS 6.0 Filter Driver

    NDIS 6.x LightWeight Filter , Windows Driver , Smaple , Networking , replacement of NDIS 5 Sample Intermediate Driver (Passthru driver)

    基于NDIS的防火墙驱动程序设计.pdf

    基于NDIS的防火墙驱动程序设计.pdf

    基于winpcap的抓包工具

    《基于WinPcap的抓包工具详解》 在信息技术领域,网络数据包捕获(Packet Capture)是一项重要的技术,它允许我们分析网络流量,检查网络性能,排查问题,甚至进行安全审计。WinPcap,全称Windows Packet Capturer...

    NDIS Filter Drivers 指南.rar

    NDIS Filter Drivers是Windows操作系统中网络驱动程序架构的一部分,它为网络通信提供了过滤和扩展的能力。这个指南,"NDIS Filter Drivers 指南.rar",显然是为了帮助开发者,尤其是初学者,理解如何构建和使用NDIS...

    基于ndis的包过滤实现firewall

    基于中间层驱动的个人防火墙实现,包括ndis实现的框架,对网络包过滤的实现。

    基于NDIS中间层驱动的网络数据过滤程序开发概括

    基于NDIS中间层驱动的网络数据过滤程序开发概括 NDIS中间层驱动程序是基于DDK中passthru框架扩展的,用于网络数据过滤和拦截。NDIS中间层驱动程序可以拦截和过滤网络数据,使得网络数据的传输更加安全。 NDIS中间...

    论文研究-基于NDIS中间层驱动的高速网络设备监测技术.pdf

    为此 ,分析基于 NDIS( network driver interface specification)中间层驱动和 Windows网络数据包过滤技术的特点 ,采用核心态 NDIS中间层驱动程序实现了与底层网络接口设备具体细节无关的高速网络设备监测技术 ,设计...

    C#TCP UDP抓包 winform源码

    在C#中,可以使用第三方库如`Pcap.Net`或者直接操作Windows的网络驱动接口(NDIS)来实现TCP抓包功能。 4. **UDP抓包**: UDP抓包与TCP类似,但因为UDP是无连接、不可靠的协议,所以抓包时需要特别关注数据包的...

    基于windows ndis的网关防火墙vc源代码

    基于windows ndis的网关防火墙

    基于Ndis Hook钩子技术开发的网络防火墙源代码

    基于Ndis Hook技术开发的网络防火墙源代码

    基于NDIS 6.x的Filter生成代码

    操作系统: win 10 x64 VS版本: VisualStudio.17.Release/17.11.4+35312.102 Windows Driver Kit 10.0....内容概要: 默认情况下生成的NDIS Filter Sample,作为讲解用的; 可以从里面看到WDF和NDIS的基本运行方式。

    基于NDIS Passthru 扩展源码

    【标题】"基于NDIS Passthru 扩展源码" 涉及的主要知识点是网络驱动程序开发,特别是NDIS(Network Driver Interface Specification)中间层驱动程序的Passthru技术。NDIS Passthru是一种允许硬件供应商创建自定义...

    基于NDIS隐蔽通信技术的木马病毒分析.pdf

    近年来,基于NDIS(Network Driver Interface Specification)隐蔽通信技术的木马病毒因其卓越的隐蔽性和难以检测性,已经成为网络安全防护的重点和难点。本文旨在分析这类木马病毒,并提出相应的分析方法。 首先,...

    基于NDIS的协议驱动的开发论文

    这篇论文详细探讨了基于NDIS的协议驱动的开发技术,旨在实现协议驱动与网络接口卡(NIC)的直接通信。 在第一章的绪论中,作者概述了NDIS的重要性和研究背景,强调了NDIS在简化网络驱动开发中的作用。论文还介绍了...

    SmartSniff(抓包工具)

    5. 结束抓包并保存:完成抓包后,可以选择停止并保存数据包到文件,以便后续分析。 四、应用场景 1. 网络故障排查:当网络连接出现问题时,通过抓包可以找出异常的数据包,从而定位问题所在。 2. 应用程序调试:...

Global site tag (gtag.js) - Google Analytics