Winsock2 SPI网络封包截获技术

最新推荐文章于 2021-04-21 16:49:19 发布
最新推荐文章于 2021-04-21 16:49:19 发布
阅读量5.1k 收藏 4
点赞数
分类专栏: c++ 文章标签: 网络 socket dll api sockets struct
众所周知,网络封包的截获技术分为几种,例如,过滤驱动程序,NDIS中间驱动程序以及Winsock2 SPI截取技术等等。其中要数Winsock2使用最为广泛,下面就向大家介绍下winsock2封包截获技术——它的很大一个特点,就是Winsock2在Winsock1.1的基础上引入了SPI技术!

 

Winsock2之关键函数
Winsock2的函数多是以WSP开头的,他们都是在WS2_32.DLL中实现的,而我们熟悉的Winsock 扩展API是以WSA开头的,因为Winsock的API在SPI函数都有相互对应,你甚至可以把这些函数当作是API函数来使用。

技术实现之关键
程序和其他钩子函数功能类似,并且将以动态链接库(DLL)文件实现,Winsock 钩子,用来截获 Winsock 调用从而拦截TCP/IP封包,并做相应处理。实现DLL的安装需要修改注册表,而不是替换系统的DLL函数,这和过去的一些资料是不同的,这种方法通用性比较高!
为了实际演示,我特别做了一个类似的程序,如果大家有一定基础,相信看了下面的文章后,反外挂也就不是问题了。程序基本流程:
1、 系统调用本dll,启动WSPStartup函数;
2、 WSPStartup将把30个相关函数设置成我们的函数,实现函数接挂;
3、 在各个函数中实现我们想要的功能,这部分读者可以随心所欲了!
下面我来介绍几个主要核心函数:
WSPStartup:WSPStartup是Windows Sockets应用程序调用SPI的初始化函数,我们称之为服务提供者的标准入口函数,主要是转换lpProcTable结构的30个指针设置成自己的,这样,相应的函数请求会首先经过我们自己的函数,然后我们自己的函数可以作适当的处理,最后再将数据流(封包)转给原来的服务提供者函数:
int WSPAPI WSPStartup(
WORD wVersionRequested,
LPWSPDATA lpWSPData,
LPWSAPROTOCOL_INFOW lpProtocolInfo,
WSPUPCALLTABLE upcallTable,

LPWSPPROC_TABLE lpProcTable
)
{
OutputDebugString(_T(" WSPStartup..."));
TCHAR LibraryPath[512];
LPWSPSTARTUP WSPStartupFunc = NULL;
HMODULE hLibraryHandle = NULL;
INT Error = 0;
//LoadLibrary GetProcAddress我就不多说了,所有DLL文件都少不了的。LoadLibrary动态调用自定义函数GetDLL提供的路径中的dll文件,GetProcAddress用于从载入的模块(sLibraryPath)中取得WSPStartup的函数地址。
if (!GetDLL(lpProtocolInfo, LibraryPath)
|| (hLibraryHandle = LoadLibrary(LibraryPath)) == NULL
|| (WSPStartupFunc = (LPWSPSTARTUP)GetProcAddress(
hLibraryHandle, "WSPStartup")) == NULL
)
return WSAEPROVIDERFAILEDINIT;

PrintProtocolInfo(lpProtocolInfo, sLibraryPath);
//得到
if ((Error = WSPStartupFunc(wVersionRequested, lpWSPData
, lpProtocolInfo, upcallTable, lpProcTable)) != ERROR_SUCCESS)
return ErrorCode;

EnterCriticalSection(&gCriticalSection);
//将30个服务函数指针加入到NextProcTable变量中保存。只要将这些函数指针赋值为自己函数的地址,那么当有调用这个函数时将首先调用自己的函数进行处理。然后自己的函数完成工作后,再去调用底层的30个函数完成中转工作。
NextProcTable = *lpProcTable;
lpProcTable->lpWSPSocket = WSPSocket;
lpProcTable->lpWSPCloseSocket = WSPCloseSocket;
lpProcTable->lpWSPConnect = WSPConnect;
lpProcTable->lpWSPAccept = WSPAccept;
lpProcTable->lpWSPSend = WSPSend;
lpProcTable->lpWSPSendTo = WSPSendTo;
lpProcTable->lpWSPRecv = WSPRecv;
lpProcTable->lpWSPRecvFrom = WSPRecvFrom;

lpProcTable->lpWSPAddressToString = WSPAddressToString;
lpProcTable->lpWSPAsyncSelect = WSPAsyncSelect;
lpProcTable->lpWSPBind = WSPBind;
lpProcTable->lpWSPCancelBlockingCall = WSPCancelBlockingCall;
lpProcTable->lpWSPCleanup = WSPCleanup;
lpProcTable->lpWSPDuplicateSocket = WSPDuplicateSocket;
lpProcTable->lpWSPEnumNetworkEvents = WSPEnumNetworkEvents;
lpProcTable->lpWSPEventSelect = WSPEventSelect;
lpProcTable->lpWSPGetOverlappedResult = WSPGetOverlappedResult;
lpProcTable->lpWSPGetPeerName = WSPGetPeerName;
lpProcTable->lpWSPGetQOSByName = WSPGetQOSByName;
lpProcTable->lpWSPGetSockName = WSPGetSockName;
lpProcTable->lpWSPGetSockOpt = WSPGetSockOpt;
lpProcTable->lpWSPIoctl = WSPIoctl;
lpProcTable->lpWSPJoinLeaf = WSPJoinLeaf;
lpProcTable->lpWSPListen = WSPListen;
lpProcTable->lpWSPRecvDisconnect = WSPRecvDisconnect;
lpProcTable->lpWSPSelect = WSPSelect;
lpProcTable->lpWSPSendDisconnect = WSPSendDisconnect;
lpProcTable->lpWSPSetSockOpt = WSPSetSockOpt;
lpProcTable->lpWSPShutdown = WSPShutdown;
lpProcTable->lpWSPStringToAddress = WSPStringToAddress;

LeaveCriticalSection(&gCriticalSection);

return 0;
}
以下是几个Winsock 2 服务提供者的几个基本函数原型,作为例子:
WSPSocket是Winsock2SPI的服务函数之一,用来创建Socket连接并将创建的Socket连接加入Socket组。
SOCKET WSPSocket(
int af,
int type,
int protocol,//协议类型
LPWSAPROTOCOL_INFOW lpProtocolInfo,
GROUP g,
DWORD dwFlags,
LPINT lpErrno
)
面向连接的数据发送并调用PrintSocket来输出封包信息。
int WSPAPI WSPSend(
SOCKET s,//Socket
LPWSABUF lpBuffers,//缓冲区地址
DWORD dwBufferCount,//缓冲区数
LPDWORD lpNumberOfBytesSent,//发送字节数
DWORD dwFlags,//标志
LPWSAOVERLAPPED lpOverlapped,//重叠
LPWSAOVERLAPPED_COMPLETION_ROUTINE lpCompletionRoutine,//重叠处理设置
LPWSATHREADID lpThreadId,//进程ID
LPINT lpErrno//错误编号
)
同样是面向非连接的数据发送并调用PrintSocket来输出封包信息。
int WSPSendTo(
SOCKET s,
LPWSABUF lpBuffers,
DWORD dwBufferCount,
LPDWORD lpNumberOfBytesSent,
DWORD dwFlags,
const struct sockaddr FAR * lpTo,
int iTolen,
LPWSAOVERLAPPED lpOverlapped,
LPWSAOVERLAPPED_COMPLETION_ROUTINE lpCompletionRoutine,
LPWSATHREADID lpThreadId,
LPINT lpErrno
)
}
面向连接的数据接收,主要功能是在接收数据之前,对封包信息进行了解:
int WSPRecv(
SOCKET s,
LPWSABUF lpBuffers,//数据缓冲区地址
DWORD dwBufferCount,//缓冲区数目
LPDWORD lpNumberOfBytesRecvd,//接收的字节数
LPDWORD lpFlags,
LPWSAOVERLAPPED lpOverlapped,//重叠设置
LPWSAOVERLAPPED_COMPLETION_ROUTINE lpCompletionRoutine,
LPWSATHREADID lpThreadId,
LPINT lpErrno
)
同样是面向非连接的数据接收,主要功能是在接收数据之前,对封包信息进行了解,函数如下:
int SPRecvFrom (
SOCKET s,
LPWSABUF lpBuffers,//缓冲区地址
DWORD dwBufferCount,
LPDWORD lpNumberOfBytesRecvd,//接受字节数
LPDWORD lpFlags,
struct sockaddr FAR * lpFrom,
LPINT lpFromlen,
LPWSAOVERLAPPED lpOverlapped,//重叠
LPWSAOVERLAPPED_COMPLETION_ROUTINE lpCompletionRoutine,
LPWSATHREADID lpThreadId,
LPINT lpErrno
)
其他还有:WSPCloseSocket;WSPConnect;WSPAccept;WSPSend;WSPSendTo;WSPRecv;WSPRecvFrom等一系列函数,大家可以查找有关手册。其实用法和winsock API类似。

运行调试
在加入普通模块后,运用dbgview.exe进行调试(网上有下载)安装后,联网测试,我们就可以看到效果了,SPI其实就是一种接口,当我们把自己写好的程序安装到系统后,所有的Winsock请求会发送到这个程序并由他进行转发等调用……一切ok!
kun81
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
粉网封包拦截器_ou.rar_C/C++_
08-09
粉网封包拦截器现在支持拦截发送封包、拦截接收封包、拦截发送软件信息、拦截进程路径,拦截全局封包、拦截指定进程封包、拦截网页封包、拦截Tcp/Ip封包、拦截Udp封包、模拟Post操作、模拟IE浏览网页等。。粉网封包拦截器这东西应该做WG或者是分析网络制作软件时用的到吧?
利用SPI编写类似sockscap的代理工具
`小明湖畔.。のBlog
02-20 1039
转自:http://blog.csdn.net/ze_tsin/article/details/6376831 SPI的出现其实就是微软为了方便程序员对网络API的各种HOOK,从而省去一些麻烦,然而相对的也会增加不少问题。对于SPI中的LSP这种分层的结构,可以很好的使用强盗手法将自己当作老大放在最上层,但是,如果有其他程序也使用同样的手法,那么就会产生冲突了。 好吧进入正题。。
自己做一个的网络防火墙(二):实现SPI的HOOK函数
weixin_42559271的博客
04-21 831
系列文章目录 环境搭建:https://blog.csdn.net/weixin_42559271/article/details/115803399 文章目录系列文章目录一、前言二、背景知识2.1 Winsock架构体系2.2 防火墙所在位置三、SPI函数的编写3.1 微软对于SPI的编写约定3.2 HOOK函数的编写思路3.3 WSPStartup函数编写思路 一、前言 之前的一篇文章我们详细的介绍了如何将我们的环境搭建起来,前文提到我们的项目由两部分组成,这一篇文章就来讲解一下其中的HOOK的DL
SPI黑客技术研究[4]
mydante的专栏
10-19 1681
接下来,我们最后来看看怎么样实现一个服务提供者的最基本的实例,我们可以试图在这里对网络封包进行截取。  以下是基础服务提供者实例,对于分层服务提供者,麻烦!我懒得写了:  int WSPAPI WSPStartup( WORD wVersion, LPWSPDATA lpWSPData, LPWSAPROTOCOL_INFOW lpProtocolInfo, WSP
网络封包过滤之分层服务提供者(LSP)
weixin_41454036的博客
11-04 889
https://blog.csdn.net/chinafe/article/details/7782635 分层服务提供者(LSP)(1) 开发过滤数据包的LSP程序可以定义过滤规则,恩,先看看 LSP本身是DLL,可以将它安装至Winsock目录,创建套接字的应用程序不必知道此LSP的任何信息就能调用它 运行原理 用户创建套接字 套接字创建函数(如socket)在Winsock目录寻找合适的协议 此协议的提供者导出的函数完成各种功能 我们的目的: 将自己编写的提供者安装到Winsock目录中,让
网络封包过滤之分层服务提供者(LSP)(1)
jackfirst86的专栏
03-28 1220
<br />开发过滤数据包的LSP程序可以定义过滤规则,恩,先看看<br />LSP本身是DLL,可以将它安装至Winsock目录,创建套接字的应用程序不必知道此LSP的任何信息就能调用它<br />1. 运行原理 <br />用户创建套接字<br />1) 套接字创建函数(如socket)在Winsock目录寻找合适的协议<br />2) 此协议的提供者导出的函数完成各种功能<br />我们的目的:<br />1) 将自己编写的提供者安装到Winsock目录中,让用户调用我们的服务提供者<br />2)
任鸟飞逆向C++高级篇
09-08
【课程简介】本课程为任鸟飞逆向C++高级篇,注重在逆向中运用的技巧和思维逻辑,掌握后相关工具与手法可以熟练运用,在反汇编的世界里如鱼得水。 本套课程不只是一套深入学习C++的课程,更是一套深入学习汇编逆向课程、外挂与反外挂、软件安全的课程。 逆向思路技术随笔,请关注我的CSDN博客:https://blog.csdn.net/qq_36553941 欢迎大家来学习交流,活动折扣咨询等请在博客私聊我。 PS: 课程中工具包、源码、课件请关注第一章的第一节的随课课件,工欲望善其事,必先利其器! 【学前预备知识】任鸟飞逆向C++系列课程是一条精心安排为掌握汇编逆向、外挂与反外挂、软件安全以及软件编程的学习路线,包括但不限于 基础篇、进阶篇、高级篇(本篇)、实战篇等,所以为保证您能学有所成请在学习本篇之前务必掌握基础篇与进阶篇!!! 基础篇CSDN学院链接:https://edu.csdn.net/course/detail/30509进阶篇CSDN学院链接:https://edu.csdn.net/course/detail/30680 【学员学成收获】认真学习并练习后将掌握:1、熟练游戏逆向思想与技巧。2、熟练通用辅助程序设计。3、熟练诸多逆向工具使用。4、熟练常见数据结构逆向分析。5、熟悉智能主线脚本编写。 
SPI拦截网络封包(EXE安装篇)
ClassFree(自由魔方)的Blog
03-13 2275
//以下是安装类/*InsPkgCls.h*/#include #include #include #define MY_DLL_NAME _T("spidll.dll")#define MY_DLL_PATH _T("//spidll.dll")#define MY_VAR_PATH _T("//myvar.dat")#define REG_INSTALL_KEY    _T("SYSTEM//
网络编程之Winsock2 服务提供者接口(SPI)
weixin_41454036的博客
10-20 211
网络编程之Winsock2 服务提供者接口(SPI) https://blog.csdn.net/aaron133/article/details/78005779 网络编程之编写LSP进行Winsock API监控拦截或LSP注入 https://blog.csdn.net/aaron133/article/details/78028942
基于LSP劫持SOCKS5认证
weixin_41454036的博客
01-22 1383
基于LSP劫持SOCKS5认证实现客户端以代理方式连接远程服务器 1 Winsock2 SPI winsock2服务提供者接口(service provider interface)是Winsock API的补充。服务提供者接口,是应用程序使用的服务,而它本身不是应用程序,他的作用是向加载这个服务的应用导出自己。 原本Winsock目录如下: Winsock 32-bit Catalog: 1001 - Hyper-V RAW 1006 - AF_UNIX 1007 - MSAFD Tcpip [TCP/I
封包C++原程序.zip_c++封包_socket抓包程序_封包_抓包_抓封包
07-15
C++ socket 抓包封包源码,使用socket通信有需要的可以拿来参考,很实用
Windows防火墙与网络封包截获技术.pdf
03-06
本书首先论述了各种常见的网络封包截获方法。包括传输层过滤驱动程序、NDIS中间驱动和winsock 2 SPI、然后以Xfilter个人防火墙为实例、从功能分析、模块设计、文件结构定义、界面设计等等完整的介绍了软件开发的全...
windows防火墙与网络封包截获技术.part2
12-07
windows网络协议架构 第二章 编程环境VC构建 第三章 用传输层过滤驱动程序截获网络封包 第四章 用NDIS中间驱动程序截获网络封包 第五章 Winsock 2 SPI编程技术 第六章 用Winsock 2 SPI截获网络封包...
Windows防火墙与网络封包截获技术
09-13
本书首先论述了各种常用的网络封包截获方法,包括传输层过滤驱动程序、NDIS中间驱动程序和Winsock 2 SPI。然后以Xfilter个人防火墙为实例,从功能分析、模块设计、文件结构定义、界面设计到编码、制作帮助文件及制作...
基于封包截获技术的个人防火墙核心驱动技术 (2007年)
05-22
针对多数防火墙防外不防内的致命缺点,提出了一种双重过滤设计方案:在内核模式下用TDI虚拟驱动接口挂接技术实现对通过传输层的数据封包截获,在应用模式下采用Winsock 2 SPI技术实现对基于Socket网络连接通信的服务...
windows防火墙与网络封包截获技术.part1
12-07
windows网络协议架构 第二章 编程环境VC构建 第三章 用传输层过滤驱动程序截获网络封包 第四章 用NDIS中间驱动程序截获网络封包 第五章 Winsock 2 SPI编程技术 第六章 用Winsock 2 SPI截获网络封包...
利用了SPI的技术来实现对网络封包截获处理
09-08
wskfilter.dll及nfilter.exe的代码,编译成功后将两个文件放在同一目录下,CMD下运行nfilter.exe便可以加载自己的LSP(分层服务提供者)来截获相关WINSOCK API的调用
Win防火墙与网络封包截获
04-23
枚举出系统所有Winsock 2 SPI传输服务 提供者网络协议结构和路径信息
winsock2和winsock
最新发布
06-12
Winsock2是Windows Sockets 2的简称,是Windows平台上的一种网络编程接口,提供了一些新的功能和改进,比如支持异步I/O、提高了网络性能等。Winsock2是Windows Sockets 1.1的升级版本,可以向后兼容Windows Sockets 1.1和Windows Sockets 1.0。Winsock2需要使用WS2_32.DLL库文件。 Winsock是Windows Sockets的简称,是Windows平台上最早的网络编程接口之一,它基于BSD套接字API,提供了一组函数和数据结构,用于开发网络应用程序。Winsock需要使用WINSOCK.DLL库文件。 Winsock2相比Winsock提供了更多的功能和改进,建议使用Winsock2进行网络编程。同时,Winsock2也可以向后兼容Winsock,所以如果需要使用Winsock的代码也可以在Winsock2上运行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值