tdifw tdi_event_receive_datagram 问题

最新推荐文章于 2023-11-17 08:51:13 发布
最新推荐文章于 2023-11-17 08:51:13 发布
阅读量905 收藏
点赞数
tdi过滤在tdifw基础上改的,发现在Windows2008上 tdi_event_receive_datagram函数老是蓝屏,用windbg查看dmp信息,定位到:


done:
    // cleanup
    if (ote_addr != NULL)
        KeReleaseSpinLock(&g_ot_hash_guard, irql);
//    if (request.sid_a != NULL)
//        free(request.sid_a);

    if (result == FILTER_ALLOW) {

        if(ctx->old_handler)
        {
            
            return ((PTDI_IND_RECEIVE_DATAGRAM)(ctx->old_handler))
                (ctx->old_context, SourceAddressLength, SourceAddress, OptionsLength,
                Options, ReceiveDatagramFlags, BytesIndicated, BytesAvailable, BytesTaken,
                Tsdu, IoRequestPacket);
        }
        else
        {
            return STATUS_DATA_NOT_ACCEPTED;
        }
    
    } else
        return STATUS_DATA_NOT_ACCEPTED;
}


上述红色部分导致蓝屏。查了当前的irql,是DISPATCH_LEVEL,查了ctx的内存都分配的NonPagedPool,所以不存在缺页问题。那么另一种可能就是ctx->old_handle是非法地址。

导致ctx->old_handle的可能原因是这个地址被释放了,但是这个函数前边有:

ote_addr = ot_find_fileobj(ctx->fileobj, &irql);
    if (ote_addr == NULL) {
        KdPrint(("[tdi_fw] tdi_receive_datagram: ot_find_fileobj(0x%x)!\n", ctx->fileobj));
        goto done;
        
    }

代码能进入esult == FILTER_ALLOW逻辑,说明ctx->fileobj是有效的,但ctx->old_handle无效,可能原因是ctx->fileobj这个ID的ot_entry对象已经被释放了,ctx->old_handle被重新使用了,但ctx->fileobj地址没被擦除。这个可能性小。

而ctx->fileobj原来的ot_entry已经被释放了,然后系统又分配了同样ID的文件对象,这样导致ot_find_fileobj(ctx->fileobj, &irql);能找到ot_entry对象。


为此,在释放ot_entry时,强制对内容清0,在ot_del_fileobj函数中,释放前加上清除操作

memset(ote,0,sizeof(*ote));

free(ote);

测试果然不蓝屏了,bingo!

gj333
关注
基于开源TDI_FW的Windows传输层防火墙实现(实现用户态与内核态交互)
07-13
基于开源的tdifw防火墙代码,实现一个基本的、能够在Windows XP环境下运行的传输层过滤防火墙功能,能够在DbgView等调试软件下看到调试效果。 基本要求:tdifw能够正确编译、安装、运行,基本理解tdifw的功能框架,能够使用DbgView等调试软件正确定位tdifw代码中的TCP数据传输。 功能要求:在满足基本要求的前提下,能够改写tdifw中关于TCP connect部分的代码,能够读取不同的目标/源IP地址(如:网站)、端口(不同的服务、应用),能够在DbgView中显示这些信息;更进一步,试着根据目标IP地址的不同,对特定IP地址、端口进行拦截; 测试网络连接时,可采用自主配置服务器(如web,ssh,ftp等)。 拔高:设计并编写一个用户态的交互配置程序。
基于开源tdifw的Windows传输层防火墙实现(实现用户态与内核态交互)
PlanetRT的博客
07-13 721
这里写自定义目录标题基于开源TDI_FW的Windows传输层防火墙实现(实现用户态与内核态交互)实验要求实验参考实验资料实验原理规则匹配流程图具体代码静态添加规则用户态与内核态交互添加实验结果静态添加用户态与内核态交互动态添加 基于开源TDI_FW的Windows传输层防火墙实现(实现用户态与内核态交互) 实验要求 基于开源的tdifw防火墙代码,实现一个基本的、能够在Windows XP环境下运行的传输层过滤防火墙功能,能够在DbgView等调试软件下看到调试效果。 基本要求:tdifw能够正确编译、
开源项目之防火墙 tdifw
banketree
09-13 8414
tdifw是windows防火墙软件(TDI层驱动过滤),负责监控网络监听与连接、以及过滤信息。 源码在src目录, 程序在Bin目录,执行根目录下的批处理文件也可以, 具体步骤如下:  1. 运行install.bat  2. 根据你机器的配置情况,编辑%SystemRoot%\system32\drivers\etc\tdifw.conf配置文件  3. 重新启动计算机  主程序源
tdi_fw贴码析(TDI开源网络防火墙分析)
whatday的专栏
07-22 3290
tdi_fw是一个基于TDI的网络防火墙,继承自tdifw,完全采用AttachDevice的方式来实现功能,目标是成为一个高效轻巧的架构,并稳定运行于xp,win7的32位与64位版本。 memtrack模块 memtrack.h memtrack.c 跟踪内存分配与释放,避免内存泄露 #if DBG 时,自定义的内存分配函数malloc_np会在分配内存的同时建立一个
vmci_datagram.rar_V2
09-14
在提供的压缩包 "vmci_datagram.rar_V2" 中,包含两个关键文件:`vmci_datagram.c` 和 `vmci_datagram.h`。这些文件很可能包含了实现 VMCI 数据报传输功能的源代码和头文件。`vmci_datagram.c` 通常是 C 语言源代码...
vmci_datagram.rar_V2 _vmci
09-21
开发者可能在其中定义了诸如 `vmci_datagram_init()`、`vmci_datagram_send()` 和 `vmci_datagram_recv()` 这样的接口,以及描述 VMCI 资源和数据报结构的枚举、结构体等。通过包含这个头文件,其他部分的代码可以...
SD-Datagram.zip_SD_sd 命令
09-23
SD卡是一种广泛应用于移动设备、数码相机和其他便携式电子设备的存储介质,它基于闪存技术,提供了高效、大容量的数据存储解决...同时,查阅SD卡和CF卡的详细设计资料能提供宝贵的参考,有助于优化系统设计和解决问题
UDP.rar_J2ME udp_UDP
09-22
这些函数可能使用`DatagramConnection`的`open()`方法打开端口,`new Datagram()`创建数据报,`send()`发送数据,以及`receive()`接收数据。 学习这个J2ME UDP示例,开发者可以了解如何在资源有限的移动设备上进行...
udp.rar_UDP_udp linux
09-22
UDP(User Datagram Protocol)是一种无连接的、不可靠的传输层协议,常用于需要快速传输数据但对数据完整性要求不高的场景。在Linux系统中,我们可以利用套接字(Socket)API来操作UDP协议,创建UDP服务器和客户端...
tdi驱动示例,TDI官方入门helloworld
02-11
WDK下驱动和应用层序通信,Windows_TDI过滤驱动开发
TDI驱动源代码
03-30
这个是TDI驱动,本来做这个驱动的目的, 是想在应用层程序实时动态获得每个进程打开的网络端口的变化情况。 因为想不到更好的办法,同时也要兼容WIN7和WINXP,所以才使用TDI来实现。 代码是自己开发的框架,没借用tdifw等源码, 代码测试可在 64和32位位win7,winxp上运行。 除了实现获得动态变化的端口之外, 还顺便实现了每个进程的流量监控,以及每个进程的每个连接的流量情况, 还有简单的禁止某个进程访问网络,至于每个进程限速的功能,暂时没实现, 有兴趣的朋友可在此基础上做扩展, 等你做好之后就能把握理解360流量防火墙的限速的核心部分了。 应用层部分只提供了接口代码,没有做更详细的开发,有兴趣的朋友可开发。 做这驱动大概只用了10天时间,时间比较仓促,还望大牛们纠错指出。
Qt网络编程:QUdpSocket
友善啊,朋友的博客
11-08 6910
一、描述 UDP(用户数据报协议)是一种轻量级、不可靠、面向数据报的无连接协议。当可靠性不重要时可以使用它。 QUdpSocket 是 QAbstractSocket 的子类,它可以发送和接收 UDP 数据报。 1.1、使用方式 使用这个类最常见的方法是使用bind()绑定到一个地址和端口,然后调用writeDatagram()和readDatagram()/receiveDatagram()来传输数据。 QAbstractSocket是QIODevice的子类。如果要使用标准 QIODevice
TDI网络过滤驱动之tdifw实现原理分析
最新发布
xsinlink的博客
11-17 406
网络数据包的过滤(包括connect,sendto,recvfrom等)。防火墙规则策略的管理。本地网络连接状态的查询。其中防火墙规则策略的管理应用以及网络状态信息的查询实现的比较简单,主要是响应用户层的各种//防火墙规则策略CTL_CODE。
UDP 介绍
weixin_45661658的博客
05-22 190
User Datagram Protocol ---------------------- Introduction This User Datagram  Protocol  (UDP)  is  defined  to  make  available  a datagram   mode  of  packet-switched   computer&nbs
TDIfw在windows 10 1903的测试
被遗弃的庸才博客
09-19 653
最近看了一下TDI的网络过滤驱动,在Vista之后就不支持了,但是据说windows7还是能用,于是想试试在win10上还能不能玩。需要注意的是在win10上的TCP和UDP设备对象的驱动对象变成了tdx,于是有了下面的代码。 #include <Ntifs.h> #include <ntimage.h> #include <ntstrsafe.h> #include <Tdikrnl.h> #define MEM_TAG 'YCAI' #define
使用DatagramSocket发送、接收数据(Socket之UDP套接字)
热门推荐
jiangxinyu的专栏
11-08 12万+
http://book.51cto.com/art/201203/322540.htm 17.4.2 使用DatagramSocket发送、接收数据(1) Java使用DatagramSocket代表UDP协议的Socket,DatagramSocket本身只是码头,不维护状态,不能产生IO流,它的唯一作用就是接收和发送数据报,Java使用DatagramPacket来代表数据报,Datagr
Qt文档阅读笔记-QUdpSocket基本表述及简单实现
IT1995的博客
12-26 5862
目录   官方描述 博主例子 官方描述 具体总结如下(Detailed Description中): 1.UDP是轻量级,不可靠的传输协议! 2.QUdpSocket是QAbstractSocket的子类,可以收发数! 3.bind()用于绑定IP和端口; 4.使用writeDatagram()与readDatagram()/receiveDatagram()收发数据; 5.如...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值