NDIS6缓冲相关实验和经验

最新推荐文章于 2024-06-01 00:01:47 发布
最新推荐文章于 2024-06-01 00:01:47 发布
阅读量353 收藏
点赞数
文章标签: NDIS WFP NET_BUFFER NET_BUFFER_LIST
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MengXP/article/details/117220265
版权

NET_BUFFER 用来描述一个数据包

NET_BUFFER_LIST 用来描述共享元数据(OOB带外数据)的多个数据包

NET_BUFFER_LIST 可以是一个链表,即多个NBL连接在一起

NET_BUFFER 由多个MDL连接在一起构成,为什么这样设计的,通常构造一个数据包的方法是自下而上,就是先构造包体,再构造包头,包头,包头……

由于是这样一个自下而上的过程,就有了 Retreat Advance 两个动作,详解请参考

https://docs.microsoft.com/en-us/windows-hardware/drivers/network/net-buffer-list-structure

https://docs.microsoft.com/en-us/windows-hardware/drivers/network/net-buffer-structure

WFP callout每种回调场景的offset都不一样,参考资料

https://docs.microsoft.com/en-us/windows-hardware/drivers/network/data-offset-positions

关于收发包NBL和NB的相关资料

https://docs.microsoft.com/en-us/windows-hardware/drivers/network/indicating-received-ethernet-frames

https://docs.microsoft.com/en-us/windows-hardware/drivers/network/sending-ethernet-frames

关于WFP callout包的资料

https://docs.microsoft.com/en-us/windows-hardware/drivers/network/packet-indication-format

简单总结下来基本就是

1.WFP callout 除了STREAM path和FORWARD path,只会在回调中给一个NBL,而不是NBL chain。

2.如果NBL中有多个NB,那么这些NB具有完全相同的2、3层地址。

 

不得不说自从微软收购了github并将其应用在自己的msdn之后,微软的文档友好多了。而且微软还有专门的职位叫"内容开发者",就专职写文档的。以前想写个WFP贼费劲,啥啥没有全靠猜,现在每个场景每个API文档非常清晰。

 

另外关于MDL是否可以修改的问题,搜索了一些内容

https://community.osr.com/discussion/284088/netbufferlist-chain-using-same-mdl

https://social.msdn.microsoft.com/Forums/windowsdesktop/en-US/a63fef1c-c7e6-451d-adc5-16de1e8c0b62/ndis-51-intermediate-driver-for-packet-encryptiondecryption-not-working-with-httpsys?forum=wdk

OSR中的以为NDIS架构师大神说在内核里都是假设MDL是可写的,完全无视NBL中只读标志。

然而第二个msdn论坛的有人反馈http.sys在作出错误回应时会使用只读内存。

我之前给别人做NDIS驱动时就遇到这个问题,当时是在服务器上部署NDISFilter总是过一段时间莫名其妙出现写Readonly故障,当时是Rebuild解决的,今天终于明白了,原来是这么回事。

MengXP
关注
NDIS笔记---(2)
qq_22038209的博客
03-07 3394
Filter Module不直接支持老的基于NDIS_PACKET结构的发送请求和接收指示,替代老的结构现在采用新的NET_BUFFER结构 来进行发送请求和指示。(NET_PACKET->NET_BUFFER) Filter Driver创建缓冲区用于拷贝从其它驱动获得的数据或用于发起一个发送请求和接收指示。 如果一个Filter Driver不能创
NDIS源码 NDIS6
04-15
typedef struct _NDIS60_PROTOCOL_BLOCK { VOID* Header; /* _NDIS_OBJECT_HEADER */ VOID* ProtocolDriverContext; struct _NDIS60_PROTOCOL_BLOCK* NextProtocol; struct _NDIS_OPEN_BLOCK* OpenQueue; struct _REFERENCE Ref; unsigned char MajorNdisVersion; unsigned char MinorNdisVersion; unsigned char MajorDriverVersion; unsigned char MinorDriverVersion; UINT32 Reserved; UINT32 Flags; struct _UNICODE_STRING Name; } NDIS60_PROTOCOL_BLOCK, *PNDIS60_PROTOCOL_BLOCK;
NDIS 6.0 Filter Driver 开发资料- 01
weixin_34194379的博客
06-15 593
2019独角兽企业重金招聘Python工程师标准>>> ...
NDIS中间层 NDIS6过滤驱动开发笔记
03-09
详细 通俗的介绍NDIS中间层驱动 过滤驱动开发过程中遇到的问题入解决办法
NDIS6过滤驱动的编写
CharlesPrince的专栏
01-02 5151
<br />NDIS6是在WINDOWS VISTA及之后版本的WINDOWS引入的,这时NDIS5的HOOK方式是无法使用的,MSDN推荐的方式是使用过滤驱动,其实也可以使用Intermediate(中间层驱动),下面谈一下它们的利弊,还有一些原理性的东西:<br />1.为什么NDIS6不动NDIS5的HOOK:<br />1.因为NDIS6使用了新的函数集和新的数据结构,最重要的是NET_BUFFER替代了NDIS_PACKET,原先所有的使用NDIS_PACKET的PROTOCOL或MINIPORT
基于NDIS中间层驱动的网络数据过滤程序开发概括
09-30
NDIS中间层驱动程序,基于DDK中passthru框架扩展。
实验5 基于NDIS中间层驱动的报文捕获、重组与再发送
11-22
实验的目标是让学生通过编写NDIS中间层驱动程序,掌握报文的捕获、重组和再发送技术。 【描述】:在“NDIS中间层驱动编程综合设计实验教学大纲及指导书.pdf”中,实验五的设计旨在让学生亲自动手实现一个功能完整...
NDIS中间层驱动中IP、MAC地址的获取
11-20
在处理发送或接收的数据包时,可以调用NDIS相关函数,例如`NdisQueryPacket`或`NdisFirstBufferFromPacket`,配合偏移量来访问数据包中的IP头,从而提取IP地址。 MAC地址,也称为物理地址,是数据链路层的标识符...
论文研究-基于NDIS的自组织网测试床设计与实现.pdf
07-22
综上所述,设计和实现一个基于NDIS的自组织网测试床是一个复杂的系统工程,它不仅需要对网络通信协议有深入的理解,还需要具备Windows平台下的驱动程序开发经验。通过这样的测试床,研究人员可以对自组织网络协议...
sniffer程序分析与设计 实验报告
03-22
6. **WinPcap编程**:在C语言中,使用WinPcap进行数据包捕获需要初始化适配器结构体(如ADAPTER)和数据包结构体(如PACKET)。适配器结构体包含网络适配器的句柄和名称,而数据包结构体则存储接收到的数据包信息。...
网络靶场攻防综合实验
weixin_46605806的博客
12-20 7088
目录一,靶场环境搭建1.1,网络拓扑结构图1.2,搭建简易的网络攻防实验靶场环境,包括:1.3,网络靶场攻击渗透测试,包括:1.4,网络靶场攻击检测二,靶场的搭建与攻击渗透测试2.1,Honeyd2.1.1,honeyd概述2.1.2,honeyd所依赖的函数库2.1.3,搭建honeyd2.1.4,编写honeyd的配置文件2.1.5,启动honeyd2.1.6,检查honeyd搭建情况2.2,具有“永恒之黑”CVE-2020-0796漏洞的虚拟主机2.2.1,漏洞概述2.2.2,复现环境2.2.3,漏洞
NDIS中间层驱动学习小记
u012324979的专栏
08-19 1106
大二暑假,据说拥有驱动开发基础,boss给出了个网络过滤驱动的题目,刚开始以为会是很简单的,就一直在TDI层上着手,后来才发现TDI在xp之后就有可能不支持了,所以在了解其处理流程之后果断专项NDIS中间层协议驱动。 NDIS横跨传输层/网络层/数据链路层,NDIS负责上下层驱动程序间服务原语与驱动程序入口之间的转换,分派消息通知。NDIS提供三个层次的接口:网络接口卡驱动程序(NIC)、中间层
ndis中间层驱动总结
研究源码的最底层,只持有正确的仓位
01-15 1298
1.NDIS_PACKET 包描述符结构 结构中包含3个域,Head,Tail,NdisPacketOobOffset,包描述符和一个或者多个链式数据缓冲区(MDL)关联,这个缓冲区包含真正的网咯数据。Head指向第一个缓冲区地址,Tail指向最后一个为NULL ,可以通过NdisQueryPacket,NdisGetNextBuffer,NdisGetFirstBufferFromPa...
NDIS6.0指示接收以太网帧时需要遵守的要求
yw1621的专栏
04-29 1012
自己翻译的微软关于NDIS6.0指示接收以太网帧时需要遵守的要求的文档。 英语太渣,翻译的不好,凑合看,方便自己日后参考。 Indicating Received Ethernet Frames 指示接收以太网帧 The Windows TCP/IP protocol driver imposes a set of requirements for receiving Ether...
NDIS Filter开发-Filter启动、暂停和绕过
最新发布
苏洛的博客
06-01 1224
NDIS Filter驱动的绕过模式
windows7以上平台NDIS6框架的NDIS协议驱动开发
fanxiushu的专栏
01-30 5926
                                                                                           by fanxiushu 2019-01-30 转载或引用请注明原始作者。 提到NDIS协议驱动,可能比较陌生,因为毕竟用得挺少的。 但是一提到WireShark或ethereal等抓包软件,大家就不再陌生了。 这些抓...
NDIS开发[网络驱动开发] NDIS开发(2)
trents的专栏
07-11 2220
转自:http://wuli5164233.blog.163.com/blog/static/460195442009125682591/ NDIS开发[网络驱动开发] NDIS开发(2)   2009-02-25 18:08:25|  分类: VPN编程 |字号 订阅 接  NDIS开发[网络驱动开发] NDIS开发(1)   3.4 在微端口驱动程序上实
NDIS中间层的驱动包截获技术教程
yxyhack's blog
12-07 8817
<br /><br /><br />NDIS(Network Driver Interface Specification)是网络驱动程序接口规范的简称。它横跨传输层、网络层和数据链路层,定义了网卡或网卡驱动程序与上层协议驱动程序之间的通信接口规范,屏蔽了底层物理硬件的不同,使上层的协议驱动程序可以和底层任何型号的网卡通信。NDIS为网络驱动程序创建了一个完整的开发环境,只需调用NDIS函数,而不用考虑操作系统的内核以及与其他驱动程序的接口问题,从而使得网络驱动程序可以从与操作系统的复杂通讯中分离,极大地方
NDIS 6驱动的简单压缩包文件解析
通常,这种压缩包用于存储和传输开发过程中所使用的NDIS相关资源或代码,便于开发者在不同环境之间共享和部署。 5. 开发与部署: NDIS驱动程序的开发涉及到微软的Windows Driver Kit (WDK)工具集,它为开发者提供...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值