NDIS HOOK 防火墙实现关键技术

原创 2007年10月16日 08:29:00

                                                                   NDIS HOOK 防火墙实现关键技术


谈到网络安全不能不提到防火墙。目前国内防火墙多数是采用 TDI 技术, NDIS 可以算是较先进的技术了(如果您认为不是的话, 只能说明我落伍了, 呵呵) 网上缺少 NDIS 防火墙实现的技术细节说明.  经过2天的查找资料和分析已有的源代码再加上以前 NDIS 编程的基础很快对该技术有了初步的了解。


该技术细节分析只涉及到怎样 Hook 到 Ndis.sys 中导出的内核函数。至于在 Hook 函数中要进行怎样的处理就要取决于具体功能要求了. 希望下面的技术细节分析可以解决您入手难的问题.


实现思路:
(1) 类似于 User-Mode Application, 我们需要得到被挂钩函数所在文件的内存基地址。

(2) 判断该基地址开始前2个字节是否是 'MZ', 然后通过 DOS 头部结构的最后成员 e_lfanew. 进一步得到 PIMAGE_NT_HEADERS, 然后得到
    函数导出目录的地址.

(3) 在 ndis.sys 的导出目录中查找要替换的目标函数 NdisRegisterProtocol, 找到目标函数后得到目标函数地址. 然后保存原先函数地址并    用我们自己的 New_NdisRegisterProtocol 替换原函数地址。

(4) 根据具体的功能需求进行不同的过滤实现.


没有什么讲解方法比展示实现代码更丰富更吸引人的, 下面就给出实现代码.


(1)
例如: 通过 depends.exe 工具查看 ndis.sys 导出的函数, 可以发现其中包括 NdisRegisterProtocol, 我们就挂钩该函数

首先需要得到 ndis.sys 的内存基地址
这里使用 Native API  ZwQuerySystemInformation 来获得系统已经加载内核模块的信息。

系统模块信息结构体如下:

typedef struct _SYSTEM_MODULE_INFORMATION {
 ULONG Reserved[2];
 PVOID Base;
 ULONG Size;
 ULONG Flags;
 USHORT Index;
 USHORT Unknown;
 USHORT LoadCount;
 USHORT ModuleNameOffset;
 CHAR ImageName[255];
} SYSTEM_MODULE_INFORMATION, *PSYSTEM_MODULE_INFORMATION;


查找指定模块的内存基址函数如下:

void * find_system_dll(const char *name)
{
 ULONG i, n, *q;
 PSYSTEM_MODULE_INFORMATION p;
 void *base;
 
 /*
         * 得到系统模块信息需要的内存数量
         */
 ZwQuerySystemInformation( SystemModuleInformation, &n, 0, &n);
 q = (ULONG *)ExAllocatePool(PagedPool, n);
 ZwQuerySystemInformation(SystemModuleInformation, q, n * sizeof (*q), 0);

 
        /*
         * ZwQuerySystemInformation 在改内存中返回模块数量和每个模块的信息.
  * 模块数量是内存的前4个字节, 后面是所有模块信息的排列
         */
 p = (PSYSTEM_MODULE_INFORMATION)(q + 1);

 base = NULL;
 for (i = 0; i < *q; i++)
 {               
  /*
                 * 例如: ImageName: windows/system32/ndis.sys, 那么 ModuleNameOffset 就是 0x11
                 */
  if (_stricmp(p[i].ImageName + p[i].ModuleNameOffset, name) == 0)
  {
   /*
                         * 得到 ndis.sys 模块的内存基址
                         */
   base = p[i].Base;

   KdPrint(("[ndis_hk] find_system_dll: %s; base = 0x%x; size = 0x%x/n", name, base, p[i].Size));
   break;
  }
 }
  
 ExFreePool(q);

 return base;


(2) 我们已经得到了ndis.sys 模块的内存基址, 下面就根据 PE 文件格式来得到导出函数目录的虚拟地址
 

(3) 查找目标函数 NdisRegisterProtocol, 得到目标函数的在系统内核中的地址, 保存并替换原地址

/*
 * base :  ndis.sys 模块的内存基地址
 * 
 * fn:     被 Hook 的函数名
 *
 * new_fn: 新的函数地址
 */

void * fix_export(char *base, const char *fn, void *new_fn)
{
 PIMAGE_DOS_HEADER dos_hdr;
 PIMAGE_NT_HEADERS nt_hdr;
 PIMAGE_EXPORT_DIRECTORY export_dir;
 ULONG *fn_name, *fn_addr, i;

 /*
         * 检查文件的有效性, 开始的2个字节是否是 'MZ', 按照 little-endian 顺序值是 0x5A4D.
         */
 dos_hdr = (PIMAGE_DOS_HEADER)base;

 if (dos_hdr->e_magic != IMAGE_DOS_SIGNATURE)
  return NULL;

 /*
         * 通过DOS头部的最后一个成员得到 NT 头部相对于文件的偏移, 然后计算出 NT 头部的虚拟地址
         */
 nt_hdr = (PIMAGE_NT_HEADERS)( base + dos_hdr->e_lfanew );

 export_dir = (PIMAGE_EXPORT_DIRECTORY)( base + nt_hdr->OptionalHeader.DataDirectory                                                    [IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress );
 
 
 /*
         * 得到导出函数名字地址数组的地址, 数组中的每个元素是导出函数名的地址(指向导出函数名的指针)
         */
 fn_name = (ULONG *)(base + export_dir->AddressOfNames);
 /*
         * fn_addr 数组中每个元素是导出函数地址的地址
         */
 fn_addr = (ULONG *)(base + export_dir->AddressOfFunctions);
 
 
 for ( i = 0;  i < export_dir->NumberOfNames;  i++, fn_name++, fn_addr++ )
 {
  if ( strcmp(fn, base + *fn_name) == 0 )
  {
   /*
                         * 取得该函数名对应的虚拟内存地址
                         */
   void *old_addr = base + *fn_addr;

   /*
                  *  用我们自己新的函数地址(相对于导出模块的基地址) 来代替原函数的地址
                         */
   replace_value_safe(fn_addr, (char *)new_fn - base);

   return old_addr;
  }
 }

 return NULL;
}


BOOLEAN replace_value_safe( ULONG *addr, ULONG value)
{
 MDL *mdl;
 ULONG *virt_addr;

 mdl = IoAllocateMdl(addr, sizeof(value), FALSE, FALSE, NULL);
 if ( mdl == NULL )
  return FALSE;
 
 /*
         * 检测指定的操作是否被支持, 锁定页面避免被换出从而造成缺页错误.
         * 如果检测的操作不被支持该函数会抛出异常, 因此必须用 try/except 异常处理.
         */
 __try
 {
  MmProbeAndLockPages( mdl, KernelMode, IoModifyAccess );
 
 } __except(EXCEPTION_EXECUTE_HANDLER)
 {
  KdPrint( ("[ndis_hk] replace_value_safe: MmProbeAndLockPages!/n") );
  return FALSE;
 }

 virt_addr = (ULONG *)MmGetSystemAddressForMdl(mdl);

 /*
         * 修改函数地址
         */
 *(ULONG *)virt_addr = value;


 MmUnlockPages(mdl);
 IoFreeMdl(mdl);
 return TRUE;
}

(4) 在新函数中进行过滤操作
 

个人防火墙--中间层NDIS中间层驱动发送和接收流程

1)用户态(user-mode)。 在用户态下进行网络数据包的拦截有三种方法:WinsockLayeredServiceProvider(LSP)、Windows2000包过滤接口、替换系统自带...
  • u011386637
  • u011386637
  • 2016年05月05日 11:01
  • 1514

NDIS网络驱动程序学习

NDIS网络驱动程序学习(一)    关于网络编程,大家用的比较多的就是SOCKET。其中呢,SOCKET分TCP,UDP,原始套接字。 当然,TCP,UDP套接字是大家用的最多的,也是最常见...
  • wangjichang1
  • wangjichang1
  • 2014年09月09日 16:01
  • 731

NDIS中间层驱动学习小记

大二暑假,据说拥有驱动开发基础,boss给出了个网络过滤驱动的题目,刚开始以为会是很简单的,就一直在TDI层上着手,后来才发现TDI在xp之后就有可能不支持了,所以在了解其处理流程之后果断专项NDIS...
  • u012324979
  • u012324979
  • 2015年08月19日 23:49
  • 439

探索NDIS HOOK新的实现方法(1)

NDIS HOOK是专业级防火墙使用的一种拦截技术,NDIS HOOK的重点是如何获得特定协议对应NDIS_PROTOCOL_BLOCK指针,获得了该指针,接下来就可以替换该协议所注册的收发函数,而达...
  • swanabin
  • swanabin
  • 2013年07月10日 12:17
  • 734

windows xp下使用TDI+NDIS实现进程网络流量限速(设计文档)

在windows xp下实现进程网络流量限速
  • haolipengzhanshen
  • haolipengzhanshen
  • 2015年05月06日 19:18
  • 2554

基于NDIS的内核态防火墙设计

1.      安装与编译NDIS Filter框架 NDIS Filter框架集成在WDK中,微软提供的最新的是WDK8.1,需要搭配VS2013使用。如果强行在VS2012或更低版本中进行编译将...
  • qq_23323769
  • qq_23323769
  • 2015年01月26日 13:52
  • 337

windows 网路驱动安装

最近在开发网路协议及小端口驱动,在http://www.ndis.com/下载了协议驱动安装的例子ProtInstall(http://www.ndis.com/ndis-general/ndisin...
  • xbgprogrammer
  • xbgprogrammer
  • 2016年04月11日 16:46
  • 887

ndis协议驱动开发

协议驱动的开发流程: 首先,一个协议驱动调用函数ndisRegisterProtocol()先把自己注册为协议驱动,此举的意义告诉windows,我是一个ndis协议驱动,并将约定好的回调函数的列表...
  • keepdoingit
  • keepdoingit
  • 2015年10月17日 10:48
  • 2403

NDIS函数简明手册

函数 描述 无连接微端口的上层函数  DriverEntry 由操作系统调用来激活和初始化微端口驱动程序 MiniportAllocateComple 调用它来指示以前调...
  • hutao1101175783
  • hutao1101175783
  • 2014年10月12日 12:09
  • 808

NDIS驱动结构

今天本来想发篇正式点的BLOG,没想到没有保存住, 以后word打开不敢随便关闭啥提示了。 以下是网络上的文章的摘录,但已经能反应整个的思路过程。 NDIS驱动结构简介       其中,...
  • haolipengzhanshen
  • haolipengzhanshen
  • 2014年12月30日 14:45
  • 6605
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:NDIS HOOK 防火墙实现关键技术
举报原因:
原因补充:

(最多只允许输入30个字)