Windows8内核模式下开发NDIS应用-NDIS Filter讲解

最新推荐文章于 2024-06-05 00:16:47 发布
最新推荐文章于 2024-06-05 00:16:47 发布
阅读量9.9k 收藏 14
点赞数 5
分类专栏: VC++编程技术 Windows8 Visual Studio2012 Visual C++2010编程技术 Windows8开发专栏 文章标签: filter windows buffer attributes module list
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/itcastcpp/article/details/7752075
版权
本文介绍了在Windows 8系统下开发驱动程序的新要求,如需要数字证书和驱动签名认证,并指出与XP系统内核的区别。特别讨论了NDIS Filter驱动的开发,它是WDK提供的一种新框架,隐藏了原有的MiniportXXX和ProtocolXXX回调函数,取而代之的是新的函数机制。代码注释帮助理解微软提供的新功能。
摘要由CSDN通过智能技术生成


 在Win8系统下开发驱动程序,需要数字证书,还需要驱动签名认证。不能像XP下面那样疯狂滴耍流氓了。


 由于Win8系统的内核做了大幅度的修改,它和XP系统的内核起了很大的变化,最显著的就是刚才说的:需要签名和证书。  还有就是:不能随意的HOOK SSDT了。




在开发NDIS驱动程序的时候,WDK开发包提供了一个新的框架,叫着NDIS Filter
NDIS Filter是一个例子工程。
假入我把WDK安装在E盘,那么这个工程代码就在:
C:\WinDDK\8600.16385.1\src\network\ndis\filter目录下。


把这个例子工程和原来的Passthru工程代码做比较,您会发现,原来需要导出来的2种类型的回调函数MiniportXXX和ProtocolXXX 在新的框架里面被全部隐藏起来了。
微软提供了新的函数。 一起来看看,微软提供了什么。
在这里,为了方便分析, 我把函数代码都做了功能注释,请大家一起看看。
代码如下:



#pragma NDIS_INIT_FUNCTION(DriverEntry)

#define LITTLE_ENDIAN   (1)
//
// Global variables
// 
NDIS_HANDLE         FilterDriverHandle; // NDIS handle for filter driver
NDIS_HANDLE         FilterDriverObject;
NDIS_HANDLE         NdisFilterDeviceHandle = NULL;
PDEVICE_OBJECT      DeviceObject = NULL;

FILTER_LOCK         FilterListLock;
LIST_ENTRY          FilterModuleList;
PWCHAR              InstanceStrings = NULL;

NDIS_FILTER_PARTIAL_CHARACTERISTICS DefaultChars = {
{ 0, 0, 0},
      0,
      FilterSendNetBufferLists,
      FilterSendNetBufferListsComplete,
      NULL,
      FilterReceiveNetBufferLists,
      FilterReturnNetBufferLists
};    

typedef struct in_addr {
  union {
    struct { UCHAR s_b1,s_b2,s_b3,s_b4; } S_un_b;
    struct { USHORT s_w1,s_w2; } S_un_w;
    ULONG S_addr;
  } S_un;
} IN_ADDR, *PIN_ADDR, FAR *LPIN_ADDR;


#pragma push(1)
typedef struct IP_HEADER
{

#if LITTLE_ENDIAN
  unsigned char  ip_hl:4;    /* 头长度 */
  unsigned char  ip_v:4;      /* 版本号 */
#else
  unsigned char   ip_v:4;
  unsigned char   ip_hl:4;     
#endif

  unsigned char  TOS;           // 服务类型

  unsigned short   TotLen;      // 封包总长度,即整个IP包的长度
  unsigned short   ID;          // 封包标识,唯一标识发送的每一个数据报
  unsigned short   FlagOff;     // 标志
  unsigned char  TTL;           // 生存时间,就是TTL
  unsigned char  Protocol;      // 协议,可能是TCP、UDP、ICMP等
  unsigned short Checksum;      // 校验和
  struct in_addr        iaSrc;  // 源IP地址
  struct in_addr        iaDst;  // 目的PI地址

}IP_HEADER, *PIP_HEADER;


typedef struct tcp_header
{
  unsigned short src_port;    //源端口号
  unsigned short dst_port;    //目的端口号
  unsigned int   seq_no;      //序列号
  unsigned int   ack_no;      //确认号
#if LITTLE_ENDIAN
  unsigned char reserved_1:4; //保留6位中的4位首部长度
  unsigned char thl:4;    //tcp头部长度
  unsigned char flag:6;  //6位标志
  unsigned char reseverd_2:2; //保留6位中的2位
#else
  unsigned char thl:4;    //tcp头部长度
  unsigned char reserved_1:4; //保留6位中的4位首部长度
  unsigned char reseverd_2:2; //保留6位中的2位
  unsigned char flag:6;  //6位标志 
#endif
  unsigned short wnd_size;   //16位窗口大小
  unsigned short chk_sum;    //16位TCP检验和
  unsigned short urgt_p;     //16为紧急指针

}TCP_HEADER,*PTCP_HEADER;


typedef struct udp_header 
{
  USHORT srcport;   // 源端口
  USHORT dstport;   // 目的端口
  USHORT total_len; // 包括UDP报头及UDP数据的长度(单位:字节)
  USHORT chksum;    // 校验和

}UDP_HEADER,*PUDP_HEADER;
#pragma push()


#define IP_OFFSET                               0x0E

//IP 协议类型
#define PROT_ICMP                               0x01 
#define PROT_TCP                                0x06 
#define PROT_UDP                                0x11 


USHORT UTIL_htons( USHORT hostshort )
{
  PUCHAR  pBuffer;
  USHORT  nResult;

  nResult = 0;
  pBuffer = (PUCHAR )&hostshort;

  nResult = ( (pBuffer[ 0 ] << 8) & 0xFF00) | (pBuffer[ 1 ] & 0x00FF);

  return( nResult );
}


/*UTIL_ntohs把网络字节顺序转换成主机字节顺序*/
USHORT UTIL_ntohs( USHORT netshort )
{
  return( UTIL_htons( netshort ) );
}



NTSTATUS 
DriverEntry(IN  PDRIVER_OBJECT  DriverObject, IN  PUNICODE_STRING   RegistryPath)
{
    NDIS_STATUS                             Status;
    NDIS_FILTER_DRIVER_CHARACTERISTICS      FChars;
    NDIS_STRING                             ServiceName;
    NDIS_STRING                             UniqueName;
    NDIS_STRING                             FriendlyName;
    BOOLEAN                                 bFalse = FALSE;

    UNREFERENCED_PARAMETER(RegistryPath);
    
    DEBUGP(DL_TRACE,("===>DriverEntry...\n"));
   
    RtlInitUnicodeString(&ServiceName, FILTER_SERVICE_NAME);
    RtlInitUnicodeString(&FriendlyName, FILTER_FRIENDLY_NAME);
    RtlInitUnicodeString(&UniqueName, FILTER_UNIQUE_NAME);
    FilterDriverObject = DriverObject;
    
    do
    {
        NdisZeroMemory(&FChars, sizeof(NDIS_FILTER_DRIVER_CHARACTERISTICS));  

/*
大多数的NDIS6.0数据结构中包含的对象头结构的成员,即NDIS_OBJECT_HEADER结构。
对象头有三个成员:类型,大小和修改。如果头信息是不正确的,那么调用NDIS6.0函数将失败。
*/
        FChars.Header.Type =  
        NDIS_OBJECT_TYPE_FILTER_DRIVER_CHARACTERISTICS;
        FChars.Header.Size = sizeof(NDIS_FILTER_DRIVER_CHARACTERISTICS);
        FChars.Header.Revision = NDIS_FILTER_CHARACTERISTICS_REVISION_1;

        FChars.MajorNdisVersion = FILTER_MAJOR_NDIS_VERSION;
        FChars.MinorNdisVersion = FILTER_MINOR_NDIS_VERSION;
        FChars.MajorDriverVersion = 1;
        FChars.MinorDriverVersion = 0;
        FChars.Flags = 0;

        FChars.FriendlyName = FriendlyName;
        FChars.UniqueName = UniqueName;
        FChars.ServiceName = ServiceName;

            
/******************************************************
NDIS_FILTER_DRIVER_CHARACTERISTICS结构中Mandatory例程
******************************************************/
        FChars.AttachHandler = FilterAttach;
        FChars.DetachHandler = FilterDetach;
        FChars.RestartHandler = FilterRestart;
        FChars.PauseHandler = FilterPause;


/************************************************************
NDIS_FILTER_DRIVER_CHARACTERISTICS结构中Optional且不能在运行时变更的例程
*************************************************************/
        FChars.SetOptionsHandler = FilterRegisterOptions;
        FChars.SetFilterModuleOptionsHandler = FilterSetModuleOptions;
        FChars.OidRequestHandler = FilterOidRequest;
        FChars.OidRequestCompleteHandler = FilterOidRequestComplete;
        FChars.StatusHandler = FilterStatus;
       FChars.DevicePnPEventNotifyHandler = FilterDevicePnPEventNotify;
       FChars.NetPnPEventHandler = FilterNetPnPEvent;      
      FChars.CancelSendNetBufferListsHandler = FilterCancelSendNetBufferLists;



/**************************************************************
DIS_FILTER_DRIVER_CHARACTERISTICS结构中Optional且能在运行时变更的例程。
        
下面这4个例程也被定义在NDIS_FILTER_PARTIAL_CHARACTERISTICS中,这个结构指定的
例程可以在运行时的FilterSetModuleOptions例程中调用NdisSetOptionHandles来改变。
如果过滤驱动要在例程中修改自身的一个特性,那么必须提供FilterSetModuleOptions例程。
****************************************************************/
        FChars.SendNetBufferListsHandler = FilterSendNetBufferLists;  
   FChars.SendNetBufferListsCompleteHandler = FilterSendNetBufferListsComplete;
        FChars.ReturnNetBufferListsHandler = FilterReturnNetBufferLists;
        FChars.ReceiveNetBufferListsHandler = FilterReceiveNetBufferLists;

       ///
        FChars.CancelOidRequestHandler = FilterCancelOidRequest;        
      
        DriverObject->DriverUnload = FilterUnload;
    
        FilterDriverHandle = NULL;

        FILTER_INIT_LOCK(&FilterListLock);

        InitializeListHead(&FilterModuleList);
        
  // 把Filter驱动注册给NDIS
        Status = NdisFRegisterFilterDriver(DriverObject,
                                           (NDIS_HANDLE)FilterDriverObject,
                                           &FChars, 
                                           &FilterDriverHandle);
        if (Status != NDIS_STATUS_SUCCESS)
        {
            DEBUGP(DL_WARN, ("MSFilter: Register filter driver failed.\n")); 
            break;
        }
        //
        // Initilize spin locks
        //

        Status = FilterRegisterDevice();

        if (Status != NDIS_STATUS_SUCCESS)
        {
            NdisFDeregisterFilterDriver(FilterDriverHandle);
            FILTER_FREE_LOCK(&FilterListLock);
            DEBUGP(DL_WARN, ("MSFilter: Register device for the filter driver failed.\n")); 
            break;
        }

        
    } 
    while(bFalse);
    
    
    DEBUGP(DL_TRACE, ("<===DriverEntry, Status = %8x\n", Status));
    return Status;
    
}




//过滤驱动注册可选服务
NDIS_STATUS
FilterRegisterOptions(
        IN NDIS_HANDLE  NdisFilterDriverHandle, //它指向了这个过滤驱动
        IN NDIS_HANDLE  FilterDriverContext     //它是这个驱动的上下文
        )
{
    DEBUGP(DL_TRACE, ("===>FilterRegisterOptions\n"));
    
    ASSERT(NdisFilterDriverHandle == FilterDriverHandle);
    ASSERT(FilterDriverContext == (NDIS_HANDLE)FilterDriverObject);

    if ((NdisFilterDriverHandle != (NDIS_HANDLE)FilterDriverHandle) ||
        (FilterDriverContext != (NDIS_HANDLE)FilterDriverObject))
    {
        return NDIS_STATUS_INVALID_PARAMETER;
    }

    DEBUGP(DL_TRACE, ("<===FilterRegisterOptions\n"));

    return (NDIS_STATUS_SUCCESS);
}

    

/***************************************************************  
FilterAttach函数的功能:
   Attaching状态表示:一个Filter Driver正准备附加一个Filter Module到一个驱动栈上。
   一个过滤驱动进入Attaching状态下不能进行发送请求、接收指示、状态指示、OID请求操作。

   当一个过滤驱动进入Attaching状态时,它可以:
   (1)创建一个环境上下文区域并且初始化一个缓冲区池以及其Filter Module特点的资源。
  (2)用NDIS 传来给Filter Attach的NdisFilterHandle作为输入来调用NdisFSetAttributes例程。


   Attach is complete
   当Filter Module在Attaching状态下并且Filter Driver初始化了所有的Filter Module所需要的
   所有资源时,Filter Module进入Paused状态。


   参数说明:
    NdisFilterHandle     它用于所有过滤驱动中对Ndisxxx类例程的调用时引用指示这个过滤模块。
    FilterDriverContext  它由NdisFRegisterFilterDriver的FilterDriverContext来指定。
    AttachParameters     它是过滤模块的初始化参数结构体。
 **************************************************************/
NDIS_STATUS
FilterAttach(
    IN  NDIS_HANDLE                     NdisFilterHandle,
    IN  NDIS_HANDLE                     FilterDriverContext,
    IN  PNDIS_FILTER_ATTACH_PARAMETERS  AttachParameters
    )

{
    PMS_FILTER              pFilter = NULL;
    NDIS_STATUS             Status = NDIS_STATUS_SUCCESS;
    NDIS_FILTER_ATTRIBUTES  FilterAttributes;
    ULONG                   Size;
    BOOLEAN               bFalse = FALSE;
    
    DEBUGP(DL_TRACE, ("===>FilterAttach: NdisFilterHandle %p\n", NdisFilterHandle));

    do
    {
        ASSERT(FilterDriverContext == (NDIS_HANDLE)FilterDriverObject);
        if (FilterDriverContext != (NDIS_HANDLE)FilterDriverObject)
        {
            Status = NDIS_STATUS_INVALID_PARAMETER;
            break;
        }
        
        if ((AttachParameters->MiniportMediaType != NdisMedium802_3)
                && (AttachParameters->MiniportMediaType != NdisMediumWan))
        {
           DEBUGP(DL_ERROR, ("MSFilter: Doesn't support media type other than NdisMedium802_3.\n")); 
        
           Status = NDIS_STATUS_INVALID_PARAMETER;
           break;
        }
        
        Size = sizeof(MS_FILTER) + 
               AttachParameters->FilterModuleGuidName->Length + 
               AttachParameters->BaseMiniportInstanceName->Length + 
               AttachParameters->BaseMiniportName->Length;
        
        pFilter = (PMS_FILTER)FILTER_ALLOC_MEM(NdisFilterHandle, Size);
        if (pFilter == NULL)
        {
            DEBUGP(DL_WARN, ("MSFilter: Failed to allocate context struct
最低0.47元/天 解锁文章
尹成
关注
专栏目录
windows7以上平台 NDISFilter 网卡过滤驱动开发
fanxiushu的专栏
01-16 6914
by fanxiushu 2019-01-16 转载或引用请注明原始作者 这里讨论的都是基于WIN7以上平台,NDIS 6.0以上版本的网络驱动。 做个驱动的目的,是因为很早之前,我使用 TDI 和 NDIS5.1 框架的...
NDIS开发.pdf
09-27
NDIS开发.pdf
NDIS开发
热门推荐
xgbing
03-15 1万+
目   录1 NDIS中间层驱动程序 21.1 NDIS中间层驱动程序(NDIS Intermediate Drivers)概述 21.2 NDIS中间层驱动程序的用途 41.3 NDIS中间层驱动程序的开发环境 42 NDIS中间层驱动程序的开发 42.1 可分页和可丢弃代码 42.2 共享资源的访问同步 52.3 中间层驱动程序的DriverEntry函数 52.3.1 注册NDI
NDIS开发[网络驱动开发] NDIS开发(2)
trents的专栏
07-11 2207
转自:http://wuli5164233.blog.163.com/blog/static/460195442009125682591/ NDIS开发[网络驱动开发] NDIS开发(2)   2009-02-25 18:08:25|  分类: VPN编程 |字号 订阅 接  NDIS开发[网络驱动开发] NDIS开发(1)   3.4 在微端口驱动程序上实
windows NDIS开发指南
02-27
快速掌握NDIS驱动设计,掌握WINDOWS WMD驱动程序设计
Windows8内核模式开发NDIS应用 NDIS Filter讲解
fdgugfv的博客
11-08 436
Windows8内核模式开发NDIS应用 NDIS Filter讲解
NDIS-filter.rar_NDIS Filter_Windows NDIS Filter_filter_ndis_ndis
07-14
"NDIS-filter.rar_NDIS Filter_Windows NDIS Filter_filter_ndis_ndis"这个压缩包包含的资源是关于NDIS Filter驱动的实例,其中"NDisMonitor_v1-00"和"NDisMonitor_v1-00_plusSOURCE"可能是两个版本的监控工具,用于...
NDIS.rar_NDIS PDF_ndis_ndis 驱动_驱动开发
09-20
NDIS驱动开发是一项复杂而细致的工作,涉及到底层硬件交互、系统内核编程以及网络协议的理解。通过深入阅读提供的NDIS PDF文档,结合实际的代码实践,初学者将能够逐步掌握NDIS驱动的开发技巧,从而为Windows网络栈...
NDIS 框架 探究
03-19
NDIS miniport protocol 大家可以一起交流,我的QQ:496913925 我会解答你的疑问
NDIS过滤驱动开发手记(完成)
The 44th Demilitarized Zone
03-04 3270
不知道对于一个从未了解NDIS的人来说,2天时间搞出一个基于NDIS的过滤驱动,并且稳定运行,代表什么呢?我都没想到自己能做得这么快,我开始感觉怎么不得2周啊。############################NdisQueryPacket()  //返回一组描述了包和链的大指针的信息 在DDK编译环境中,所有的局部变量都要写在函数的开头,否则编译错误。注意数据类型,差一
windows7以上平台NDIS6框架的NDIS协议驱动开发
首席技术总监的专栏
02-26 1764
提到NDIS协议驱动,可能比较陌生,因为毕竟用得挺少的。 但是一提到WireShark或ethereal等抓包软件,大家就不再陌生了。 这些抓包软件在windows平台大都使用的是winpcap接口库,winpcap应该也不陌生。 至少在我大学期间就开始接触到了这个接口库。 只是当时对它的实现原理并不熟悉,也就只会简单调用它提供的接口来抓包玩,即便如此,当时也觉得挺神奇的。 这么多年过去,随着对操...
NDIS Filter开发-PNP响应和安装
最新发布
苏洛的博客
06-05 1023
NDIS Filter驱动的安装
西电捷通: Windows LWF驱动如何兼容TISec客户端
ITwarm的博客
02-21 2096
LWF驱动(Lightweight Filter,简称LWF)是微软Windows操作系统NDIS(Network Driver Interface Specification,简称NDIS) 6.0 引入的一种新型网络过滤驱动。LWF驱动具有更加出色的平台兼容性,甚至可以支持Windows 10,因此成为微软力荐的网络驱动实现方式,并且由此得到广泛的应用。而TISec即IP网络安全可信技术(Trust of IP Security,TISec)是一项用来保护 IP 通信安全的协议技术,系西电捷通三元对等安
转:Windows8内核模式开发NDIS应用-NDIS Filter讲解
weixin_30699235的博客
12-12 96
http://blog.csdn.net/itcastcpp/article/details/7752075 在Win8系统下开发驱动程序,需要数字证书,还需要驱动签名认证。不能像XP下面那样疯狂滴耍流氓了。由于Win8系统的内核做了大幅度的修改,它和XP系统的内核起了很大的变化,最显著的就是刚才说的:需要签名和证书。 还有就是:不能随意的HOOK SSDT了。在开发NDIS驱动程序的时候,...
Windows内核原理与实现之 NDIS(网络驱动程序接口规范)
首席技术总监的专栏
12-15 3775
文章摘录自《Windows内核原理与实现》一书。 在Windows的网络栈中,网络协议与网络适配器是分离的,协议驱动程序并不针对特定的网络适配器而设计,然而,当协议驱动程序正真运行时,它必须通过一个网络适配器才能发送和接收数据。协议驱动程序通过统一的接口与网络适配器驱动程序进行通信,此接口即为 Microsoft 和 3COM 于 1989 年联手开发的NDIS(Network Driver I...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

尹成

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值