围观网络之三 -- 浅探索NDIS5.1(2)

最新推荐文章于 2021-06-23 16:16:42 发布
最新推荐文章于 2021-06-23 16:16:42 发布
阅读量1.7k 收藏
点赞数
分类专栏: 内核研究 文章标签: 网络 extension descriptor struct string parameters
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Shevacoming/article/details/7640099
版权

二、       各个组件的绑定

1.       生成设备

 

当PNP管理器检测到有NIC的时候,会遍历所有注册的微端口驱动,通知他们要AddDevice ,从ndisRegisterMiniportDriver可以看到这个过程已经被NDIS托管

 

int __stdcall ndisAddDevice(int DriverObject, _UNICODE_STRING **SourceString, PDEVICE_OBJECTTargetDevice, char a4)

 

ndisAddDevice的大体逻辑是:

a, DriverBlock = IoGetDriverObjectExtension(DriverObject, 'NMID'); 得到驱动的 驱动块(DriverHandle) ,遍历ndisMiniDriverList 找到与之对应的节点

 

b, 创建一个设备对象,attach到\Device\PnPManager

其中 微端口设备块(_NDIS_MINIPORT_BLOCK)作为设备扩展的一部分miniPortBlock = (DeviceObject->DeviceExtension+ 72);

 

这是一个非常大的结构,在AddService中主要对这个结构一些初始化,需要注意的是以下几点

 

 *(DeviceObject->DeviceExtension + 20) = _DriverBlock; 设备扩展前面这个结构0x48的小结构没有搞清,但可以明确这里保存了驱动块
 miniPortBlock->PrimaryMiniport =miniPortBlock;
 miniPortBlock->PhysicalDeviceObject =_TargetDevice;   //指向挂载的设备
 miniPortBlock->DeviceObject = DeviceObject;                 //指向自己所属的驱动设备
miniPortBlock->NextDeviceObject =TargetDevice;
 miniPortBlock->WrapperContext =DeviceObject->DeviceExtension;     指向设备扩展
 miniPortBlock->NextGlobalMiniport = ndisMiniportList;挂入全局链表
 ndisMiniportList = miniPortBlock;


 

2.协议帮顶下层真实微端口驱动

PART ONE 绑定初始化

 

在passthru!PtBindAdpter被调用时可以看到堆栈

 

Passthru!PtBindAdapter
NDIS!ndisInitializeBinding
NDIS!ndisCheckAdapterBindings
NDIS!ndisCheckProtocolBindings
NDIS!NdisReEnumerateProtocolBindings
Passthru!PtPnPNetEventReconfigure
Passthru!PtPNPHandler
NDIS!ndisIMCheckDeviceInstance
NDIS!ndisPnPDispatch
nt!IopfCallDriver
nt!IopSynchronousCall
nt!IopStartDevice
nt!PipProcessStartPhase1
nt!PipProcessDevNodeTree
nt!PiRestartDevice
nt!PipDeviceActionWorker
nt!ExpWorkerThread
nt!PspSystemThreadStartup
nt!KiThreadStartup


 

PNP管理器检索一个驱动设备并调用nt!IopStartDevice 这里之前和WDM都一样

 

NDIS!ndisPnPDispatch托管函数托管了IRP_MJ_PNP 

 

IRP_MN_START_DEVICE的时候将执行以下代码


if (!Minor ) 
  {
    pMiniPortBlock->PnPFlags =&_NULL_IMPORT_DESCRIPTOR | pMiniPortBlock->PnPFlags & 0xFFFFFFEF;
    IrpSp = v6->Tail.Overlay.___u4.CurrentStackLocation;
memcpy(&IrpSp[-1], IrpSp, 0x1Cu);
    *(&IrpSp->Control - 36) = 0;
    v5 = ndisPassIrpDownTheStack(pIrp, v14);  //向设备栈下一层下发
    if ( v5 >= 0 )
    {
      _DriverBlock =pMiniPortBlock->DriverHandle;
      if ( _DriverBlock->Flags & 1 ) //这个标志表示这是一个中间层驱动的 驱动块
      {
        BYTE1(pMiniPortBlock->Flags) |=0x80u;
        if (ndisIMCheckDeviceInstance(_DriverBlock, &pMiniPortBlock->MiniportName,&pDevObj) )
       {
         KeWaitForSingleObject(&pMiniPortBlock->DriverHandle->IMStartRemoveMutex,0, 0, 0, 0);
          v5 = ndisIMInitializeDeviceInstance(pMiniPortBlock,pDevObj, 1);
         KeReleaseMutex(&pMiniPortBlock->DriverHandle->IMStartRemoveMutex,0);
        }
      }
      Else //否则这是一个miniport
      {
        if (ndisPnPStartDevice(pDevObj, pIrp)== 0 && BYTE2(pMiniPortBlock->Flags) & 2  &&  !ndisMediaTypeCl[p
最低0.47元/天 解锁文章
Shevacoming
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
围观网络之三 -- 探索NDIS5.1(1)
Returns' Station
06-06 2136
前言: 本文讨论w2k&xp适用的ndis5.x 网络架构。 NDIS4.0源码太老,ROS又YY了太多,所以这次的参考代码基本都是自己f5的…具体结构都有了,我f5的毫无压力=。= 调试的时候利用IMD(中间层驱动)下断点,更无压力了... NDIS5.x网络的堆叠结构大概是:   WINSOCK  API → afd → 协议驱动TCPIP(其上层是TDI接
NDIS5.1学习笔记
04-17
NDIS5.1的学习笔记,很好的开发NDIS的学习笔记,学习NDIS看看会有收获的
ndis小端口驱动总结
研究源码的最底层,只持有正确的仓位
01-15 2718
安全软件中,小端口驱动主要用于虚拟网卡。 1.DriverEntry 检查系统版本,创建驱动对象,注册Wrapper Handler包装巨柄,填写特征回调函数。 协议驱动有两个接收回调,但是小端口驱动没有接收回调,有发送回调。注册小端口驱动。初始化全局变量。 一个小端口驱动可以驱动同一类型芯片的n个网卡,每一个网卡,可能是虚拟的,被称为一个实例(Instance). 需要一个链表保存实...
Windows软件防火墙实现技术简述
06-21 1477
Windows软件防火墙实现技术简述                        author : baiyuanfan mail : baiyuanfan@163.com                          July 1st 2006关键字:    封包过滤技术,NDIS钩子,应用程序访问网络控制,TDI钩子,智能行为监控,反流氓软件,自我保护技术。本文简要介绍了目前流行的Win
NDIS小端口驱动ndisEdge学习二——小端口驱动的初始化
苞米地里捉小鸡的博客
06-10 962
目录 1 首先进入DriverEntry检查版本号(可选) 2 WDF_NO_EVENT_CALLBACK初始化驱动标志 3设置WdfDriverInitNoDispatchOverride表示框架不能拦截IO直接发给驱动的Irps 4创建WDFDriver对象 5初始化一个包装句柄(WrapperHandler) 6填写小端口特征 7注册小端口其中因为要保护全局变量所以需要有一个锁另外需要有一个链表储存需要的信息所以要初始化它们 8小端口驱动的Adapter结...
基于NDIS-HOOK的个人防水墙设计
04-16
为了解决网络数据泄露的问题,讨论了防水墙的概念和NDIS概念结构,研究了NDIS数据包发送流程和NDIS-HOOK数据包发送流程,并简要分析了NDIS-HOOK技术在防水墙数据包处理中的应用,讨论了运用NDIS-HOOK技术对发送的...
NDIS-driver.zip_ndis_ndis driver_nic
09-19
NDIS是Network Driver Interface Specification,即网络驱动接口规范。NDIS的主要目的就 是为NIC(网络接口卡,Network Interface Cards)制定出标准的API接口。
driver-revised.rar_ndis
09-23
是关于NDIS驱动的,我们把packet里修改了,很好用的
TCP.rar_WinSock-NDIS _tcp 字符
09-23
WINSOCK 客户端发送程序示例,可发送中英文字符
NDIS-filter.rar_NDIS Filter_Windows NDIS Filter_filter_ndis_ndis
07-14
NDIS数据包过滤监控,测试通过,是学习ndis的好例子。NdisMonitor_v1-00是演示程序,NdisMonitor_v1-00_kernel是驱动源代码
6.3.9600内核结构
做一个快乐学习者
06-23 216
kd> dt ndis!_NDIS_FILTER_BLOCK +0x000 Header : _NDIS_OBJECT_HEADER +0x008 NextFilter : Ptr64 _NDIS_FILTER_BLOCK +0x010 FilterDriver : Ptr64 _NDIS_FILTER_DRIVER_BLOCK +0x018 FilterModuleContext : Ptr64 Void +0x020 Minip
微软Windows软件防火墙实现技术简述
12-25 1375
从Windows软件防火墙的诞生开始,这种安全防护产品就在跟随着不断深入的黑客病毒与反黑反毒之争,不断的进化与升级。从最早期的只能分析来源地址,端口号以及未经处理的报文原文的封包过滤防火墙,后来出现了能对不同的应用程序设置不同的访问网络权限的技术;近年来由ZoneAlarm等国外知名品牌牵头,还开始流行了具有未知攻击拦截能力的智能行为监控防火墙;最后,由于近来垃圾插件和流氓软件的盛行,很多防火墙都
网络数据包拦截通用技术
04-12 2611
网络数据包拦截通用技术 作者:甘嘉平 (gjp)看到很多仁兄提供的数据包的拦截技术,其中最多的是编写IM DRIVER在NDIS中间层 对MINIPORT(网卡驱动程序)和协议驱动程序之间的数据包进行拦截。这是微软提供的一种技术 但编写该过滤程序拦截程序非常的复杂,安装也很麻烦。 本人简单的介绍一种更有效的基于NDIS包拦截技术。 大家都知道,NDIS协议驱动程序是通过填写一张NDIS_PROTO
基于Windows系统下网络数据包过滤方法的分析
chenyujing1234的专栏
07-31 1万+
1、windows的分层网络构架 可以把windows操作系统的网络构架粗略划分为6层,其中逻辑链路层、网络层和传输层都是通过传输驱动程序实现的,也叫做协议驱动程序。网络驱动接口标准(NDIS)用于windows环境下网络驱动程序的开发,NDIS提供了很多功能函数,在各种驱动程序的编写中只需要调用各种函数,NDIS负责把上下层驱动程序联系起来,实现网络数据包的上下发送与接收。 例如,当协议驱动
10.0.18363.535内核结构
做一个快乐学习者
06-23 2021
kd> dt ndis!_NDIS_FILTER_BLOCK +0x000 Header : _NDIS_OBJECT_HEADER +0x008 NextFilter : Ptr64 _NDIS_FILTER_BLOCK +0x010 FilterDriver : Ptr64 _NDIS_FILTER_DRIVER_BLOCK +0x018 FilterModuleContext : Ptr64 Void +0x020 Minip
windows7以上平台NDIS6框架的NDIS协议驱动开发
首席技术总监的专栏
02-26 1687
提到NDIS协议驱动,可能比较陌生,因为毕竟用得挺少的。 但是一提到WireShark或ethereal等抓包软件,大家就不再陌生了。 这些抓包软件在windows平台大都使用的是winpcap接口库,winpcap应该也不陌生。 至少在我大学期间就开始接触到了这个接口库。 只是当时对它的实现原理并不熟悉,也就只会简单调用它提供的接口来抓包玩,即便如此,当时也觉得挺神奇的。 这么多年过去,随着对操...
基于ndis的防火墙源码供大家赏析firewall.c
07-11 5970
 #include "precomp.h"#pragma hdrstop#pragma NDIS_INIT_FUNCTION(DriverEntry)NDIS_PHYSICAL_ADDRESS         HighestAcceptableMax = NDIS_PHYSICAL_ADDRESS_CONST(-1, -1);NDIS_MEDIUM                        
NDIS HOOK及MINIPORT HOOK的实现
The Art Of Kernel
09-01 1212
[0x00]    网上有很多讨论关于NDIS HOOK的文章,但大多只讲了WIN7之前的HOOK NDIS_OPEN_BLOCK下的例程,至于WIN7下怎么 HOOK以及如何做MINIPORT-HOOK,网络上则鲜有提及.根据前阵子的相关分析,我把NDIS HOOK总结一下
什么是NDIS
热门推荐
zdleek的专栏
02-21 1万+
NDIS是Network Driver Interface Specification的简写。NDIS的主要目的就 是为NIC(网络接口卡,Netwok Interface Cards)制定出标准的API接口。MAC (介质访问控制,Media Access Controller)设备驱动封装了所有的NIC硬件 实现,这样一来所有的使用相同介质的NIC就可以通过通用的编程接口被访问。 NDIS同时
usb虚拟ndis网络适配器
最新发布
07-28
USB虚拟NDIS网络适配器是一种用于USB设备的网络适配器。它可以将USB设备(如手机、无线网卡等)转换为虚拟的网络设备,在计算机上创建一个虚拟的网络连接端口。 USB虚拟NDIS网络适配器的主要作用是为USB设备提供...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值