.NET框架中的驱动程序应用技术

转载 2004年09月15日 11:11:00
 

.NET框架中的驱动程序应用技术

——用.NET和NDIS Hook Driver开发单机版网络防火墙的关键技术分析

N-Byte网络守望者是一款由我们团队开发的单机版网络安全工具,简言之,就是一个用.NET开发的个人版防火墙。在N-Byte网络守望者1.0版的开发中,我们使用了NDIS Hook Driver技术来实现网络封包过滤功能,这使我们的N-Byte网络守望者能够在网络层过滤网络封包,从而实现强大的功能。

由于我们软件的主程序是用C#写的,C#中没有提供具有类似DeviceIoControl函数功能的驱动设备控制函数,而NDIS Hook Driver技术下的驱动程序是用DDK下的C语言写的,为了能够实现主程序对驱动程序的控制和相互通信,我们采用了以下设计方案:

在以上方案中,我们需要一个负责主程序与NDIS Hook Driver驱动程序通信与控制的模块DriverDll.dll,并用C#编写的一个封装驱动程序中封包信息的模块,可以发送这个驱动程序信息到主程序,主程序可识别并操作模块中的数据类型。<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

.NET应用程序使用驱动程序的问题上,我们面临着两个问题:

1.       怎样实现.NET应用程序控制驱动程序的功能?

2.       怎样从驱动程序向.NET应用程序传递非托管的数据类型?

 

以下是我们就这些问题的详细解决方法:

 

怎样实现.NET应用程序控制驱动程序的功能?

 

我们使用托管C++编写的DriverDll.dll来实现对驱动程序的直接控制,而主程序通过调用其中的方法来实现对驱动程序的间接控制。比如我们在NByte.h文件中定义了START_IP_HOOK常数用来作为传给驱动程序用来开启驱动程序封包过滤功能的参数,下面我们在托管C++模块中定义了IoCtrl托管类并定义了下面的向缓冲区写入参数的方法:

 

//向缓冲区写入数据。

DWORD WriteIo(DWORD code,PVOID buffer,DWORD count)

{

      if(hDriverHandle == NULL)

           return ERROR_DRIVER_HANDLE;

      DWORD bytesReturned;

      BOOL returnCode = DeviceIoControl(hDriverHandle,

                                                   code,

                                                   buffer,

                                                   count,

                                                   NULL,

                                                   0,

                                                   &bytesReturned, 

                                                    NULL);

 

      if(!returnCode)

           return ERROR_IO_CTRL;

      return SUCCESS;

}

 

当然直接使用这个方法不太方便,所以定义一个公有函数,用来提供给主程序调用:

 

//开始进行封包过滤

bool StartIpHook()

{

      return (WriteIo(START_IP_HOOK, NULL, 0)==SUCCESS);

}

 

这样,只要在主程序中声明IoCtrl的对象ic,就可以通过ic.StartIpHook()就可以实现对驱动程序过滤功能的开启,用同样的方法也可以实现对驱动程序进行其它操作,比如添加、修改封包过滤规则等。

 

怎样从驱动程序向.NET应用程序传递非托管的数据类型?

 

为了能够输出安全日志,我们必须让主程序获得驱动程序中的封包信息。使用信号量机制可以很方便的实现驱动程序和非托管代码间的信息传递,那么对托管代码呢?这需要向.NET应用程序传递非托管的数据类型ACCESS_INFO。在NByte.h中,我们是这样定义这个ACCESS_INFO结构的:

 

typedef struct _ACCESS_INFO

{

      USHORT protocol; 

      ULONG  sourceIp;

      ULONG  destinationIp;

      USHORT sourcePort;

      USHORT destinationPort;

}ACCESS_INFO;

 

显然,直接传递非托管数据类型是不可以的,我们需要转换一下。首先,我们在IoCtrl类中定义了几个要传递的封包信息参数:

 

public __gc class IoCtrl

{

public:

      USHORT protocol;             //网际协议类型

      ULONG  sourceIp;           //IP地址

      ULONG  destinationIp;      //目的IP地址    

      USHORT sourcePort;          //源端口

      USHORT destinationPort;   //目的端口

………………

}

 

然后,在GetAccessInfo()函数中来给这些参数赋值:

 

void GetAccessInfo()

{

      ACCESS_INFO ai;

      bool result=(ReadIo(GET_INFO,&ai,sizeof(ai))==SUCCESS);

      this->protocol=ai.protocol;

      this->sourceIp=ai.sourceIp;

      this->destinationIp=ai.destinationIp;

      this->sourcePort=ai.sourcePort;

      this->destinationPort=ai.destinationPort;

}

 

既然在IoCtrl类中获得了这些信息,但是需要把它们封装成主程序容易处理的数据类型,这样,我用C#实现了InfoEvent类用来封装这些信息:

 

//本类封装了数据包的详细信息,可以通过事件实现对它的模块间传递。

public class InfoEvent:EventArgs

{

      string sInfo;                           //用来存放输出信息的私有成员

      public int pLength;                //CommonFunction.sPort数组的长度

      public ushort protocol;            //网络通信协议类型

      public uint sourceIp;               //数据包的源IP

      public uint destinationIp;        //数据包的目的IP

      public ushort sourcePort;         //数据包的源端口

      public ushort destinationPort;  //数据包的目的端口

………………………………

}

 

下面在用托管C++实现的InfoProvider驱动程序信息提供者类中把个InfoEvent类的对象传递给主程序,需要使用一个委托生成一个事件:

 

//声明委托事件,用来向主程序传递数据。

__delegate void DriverInfo(Object* sender, InfoEvent* e);

//声明响应事件函数。

__event DriverInfo* OnDriverInfo;

 

然后在InfoProvider驱动程序信息提供者类中定义一个方法,在主程序中以线程的方式运行这个方法,在这个方法中使用了事件函数OnDriverInfo

 

//用来获得驱动程序信息的进程,在主程序中将开启该进程。

void GetInfoThreadProc()

{

      this->hEvent=OpenEvent(SYNCHRONIZE,FALSE,"NBEvent");

      if(!ic->GetDriverHandle())

      {

           return;

      }

      while(true)

      {

           f(!hEvent)

                 ExitThread(0);

           WaitForSingleObject(this->hEvent,INFINITE);

           nPackets++;

           ic->GetAccessInfo();

           ic->ResetEvent();

           //定义一个主程序可以识别的对象,通过OnDriverInfo传给主程序。

           InfoEvent*ie=new InfoEvent(ic->protocol,ic->sourceIp,ic->destinationIp,ic->sourcePort,ic->destinationPort);

           OnDriverInfo(this,ie);

      }

      ic->CloseDriverHandle();

      return;

}

 

在主程序中,我会开启这个进程并定义了OnDriverInfo的处理函数DealWithInfo

 

pInfo=new InfoProvider();

//开启与驱动交换信息的进程

FilterThread=new Thread(new ThreadStart(pInfo.GetInfoThreadProc));

FilterThread.IsBackground=true;

FilterThread.Start();

pInfo.OnDriverInfo+=new InfoProvider.DriverInfo(DealWithInfo);

 

这样主程序就可以在DealWithInfo函数中加入对InfoEvent对象的处理了。可见,通过中间模块IoCtrl的转换,便实现了.NET主程序对驱动程序中非托管数据类型的获取和处理。

最基本的字符设备驱动程序框架

/* * 说明:用于演示一个最基本的字符设备驱动程序框架。 * 实现一个字符设备驱动的步骤: * 1、实现模块代码框架 * 2、申请设备号,这个设备号由主、次设备号组成,是应用程序 * ...
  • a987860319
  • a987860319
  • 2014年04月17日 16:01
  • 1405

网卡驱动程序框架

我们这里说的是网卡驱动程序,不是网络驱动程序,网络有七层,我们写的只是最底层的东西,网络这么多层,但是最终你还是要操作硬件啊 所以上面肯定有个硬件相关层,我们要写的就是硬件相关的驱动程序这一小块。 网...
  • fight_onlyfor_you
  • fight_onlyfor_you
  • 2017年03月30日 23:31
  • 631

.NET框架基本原理

1.1  将源代码编译为托管模块    在.NET框架里,正如前言里说的“编译器编译面向.NET框架的源代码产生CIL,只有到了运行时,CLR才将CIL翻译为CPU指令”。1、程序员先用任何支持CLR...
  • doong
  • doong
  • 2006年02月16日 16:40
  • 1630

比较6个.NET控制反转(DI/IoC)框架

授权与程序大小 框架 版本 授权 最少dll引用 大小(KB) Castle RC3 Apache  2 2 192 Unity 1.1 MS...
  • feiying008
  • feiying008
  • 2014年05月23日 16:51
  • 1334

数据挖掘与机器学习 WEKA 应用技术与实践

最近买了本《数据挖掘与机器学习 WEKA  应用技术与实践》希望能够好好学习钻研这本书。这本书讲的weka版本是3.7.8....
  • huaweitman
  • huaweitman
  • 2014年12月24日 15:20
  • 1651

解释一下linux驱动程序结构框架及工作原理

一、Linux device driver 的概念   系统调用是操作系统内核和应用程序之间的接口,设备驱动程序是操作系统内核和机器硬件之间的接口。设备驱动程序为应用程序屏蔽了硬件的细节,这样在应用...
  • maochengtao
  • maochengtao
  • 2015年01月05日 13:57
  • 1192

linux驱动之USB驱动程序框架

USB驱动程序框架: app: -----------------------------------------------------------------------             ...
  • a912293097
  • a912293097
  • 2015年01月01日 10:37
  • 2481

物联网中射频技术的应用

1、引言       2005年,国际电信联盟在《ITU2005互联网报告: 物联网》中,正式提出物联网的概念。即通过射频识别(RFID)、红外感应器、全球定位系统、激光扫描器等信息传感设备,按约定...
  • weimake8
  • weimake8
  • 2013年03月06日 11:01
  • 915

推荐数据挖掘入门教材《数据挖掘与机器学习 WEKA应用技术与实践》

该书由于去年刚出比较新,所以很难在网上下载到电子书,本人很幸运找到了前两章的电子版,而第二章又是本书的关键,所以建议大家先看看第二章,如果觉的写的好,可以再买书,或寻求电子版的全书,下载前两章请到:h...
  • u010968153
  • u010968153
  • 2015年05月19日 08:55
  • 1829

Linux字符设备驱动程序的框架(新写法)

major = register_chrdev(0, "hello", &hello_fops); /* (major,  0), (major, 1), ..., (major, 255)都对应he...
  • qq_21792169
  • qq_21792169
  • 2015年10月12日 11:18
  • 3418
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:.NET框架中的驱动程序应用技术
举报原因:
原因补充:

(最多只允许输入30个字)