NDISLWF how to block stream

最新推荐文章于 2024-04-18 09:59:52 发布
最新推荐文章于 2024-04-18 09:59:52 发布
阅读量3.5k 收藏 1
点赞数
文章标签: stream buffer filter header list function
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cumirror/article/details/6675411
版权

下面的代码中部分是伪代码,但关键的流程整理出来了,过滤databuffer,将允许通过的NBL和不允许通过的NBL分别加入 NBL_QUEUE_HEADER NblSendQueue;或NBL_QUEUE_HEADER NblDropQueue;链表中。然后将两个NBLs分别进行处理即可。

// Send Passthrough NetBufferLists

if( GET_NBL_QUEUE_HEAD( &NblSendQueue ) )

{
    NdisFSendNetBufferLists(
        pFilter->FilterHandle,
        GET_NBL_QUEUE_HEAD( &NblSendQueue ),
        PortNumber,
        SendFlags);
}
// Complete Blocked NetBufferLists
if( GET_NBL_QUEUE_HEAD( &NblDropQueue ) )
{
    NdisFSendNetBufferListsComplete(
        pFilter->FilterHandle,
        (PNET_BUFFER_LIST)GET_NBL_QUEUE_HEAD( &NblDropQueue ),
        DispatchLevel?NDIS_SEND_COMPLETE_FLAGS_DISPATCH_LEVEL:0);

具体点的代码如下:

VOID
FilterSendNetBufferLists(
						 IN  NDIS_HANDLE         FilterModuleContext,
						 IN  PNET_BUFFER_LIST    NetBufferLists,
						 IN  NDIS_PORT_NUMBER    PortNumber,
						 IN  ULONG               SendFlags
						 )
						 /*++

						 Routine Description:

						 Send Net Buffer List handler
						 This function is an optional function for filter drivers. If provided, NDIS
						 will call this function to transmit a linked list of NetBuffers, described by a 
						 NetBuferList, over the network. If this handler is NULL, NDIS will skip calling
						 this fitler when sending a NetBufferList and will call the next lower fitler 
						 in the stack with a non_NULL FilterSendNetBufferList handleror the miniport driver.
						 A filter that doesn't provide a FilerSendNetBufferList handler can not initiate a 
						 send o its own.

						 Arguments:

						 FilterModuleContext: Pointer to our filter context area.
						 NetBufferLists: Pointer to a List of NetBufferLists.
						 PortNumber - Port Number to which this send is targetted
						 SendFlags-  Specifies if the call is at DISPATCH_LEVEL                     


						 Return Value:

						 NDIS_STATUS_SUCCESS: 
						 NDIS_STATUS_PENDING:
						 NDIS_STATUS_INVALID_PACKET:
						 NDIS_STATUS_RESOURCES:
						 NDIS_STATUS_FAILURE:


						 NOTE: The filter will act like a passthru filter.       

						 --*/
{
	PMS_FILTER          pFilter = (PMS_FILTER)FilterModuleContext;
	BOOLEAN             DispatchLevel;
	BOOLEAN             bFalse = FALSE;
	PNET_BUFFER_LIST    CurrNbl, NextNbl;
	PNET_BUFFER         pCurrentNetBuffer;

	UCHAR				pPakData[MAXSCANLENGTH];
	ULONG				scanlength;

	USHORT				StreamFlag = 0;
	NBL_QUEUE_HEADER NblSendQueue; 
	NBL_QUEUE_HEADER NblDropQueue; 


	INIT_NBL_QUEUE_HEADER( &NblSendQueue );
	INIT_NBL_QUEUE_HEADER( &NblDropQueue );
	NdisZeroMemory(pPakData, sizeof(pPakData));

	DEBUGP(DL_TRACE, ("===>SendNetBufferList: NBL = %p.\n", NetBufferLists));

	do
	{
		DispatchLevel = NDIS_TEST_SEND_AT_DISPATCH_LEVEL(SendFlags);
#if DBG
		//
		// we should never get packets to send if we are not in running state
		//

		FILTER_ACQUIRE_LOCK(&pFilter->Lock, DispatchLevel);
		//
		// If the filter is not in running state, fail the send
		// 
		if (pFilter->State != FilterRunning)
		{
			DEBUGP(4, ("NOT SURE WHETHER IN THIS PATH.\n"));
			FILTER_RELEASE_LOCK(&pFilter->Lock, DispatchLevel);

			CurrNbl = NetBufferLists;
			while (CurrNbl)
			{
				NET_BUFFER_LIST_STATUS(CurrNbl) = NDIS_STATUS_PAUSED;
				CurrNbl = NET_BUFFER_LIST_NEXT_NBL(CurrNbl);
			}
			NdisFSendNetBufferListsComplete(pFilter->FilterHandle, 
				NetBufferLists, 
				DispatchLevel ? NDIS_SEND_COMPLETE_FLAGS_DISPATCH_LEVEL : 0);
			break;
		}
		FILTER_RELEASE_LOCK(&pFilter->Lock, DispatchLevel);
#endif
		if (pFilter->TrackSends)
		{
			CurrNbl = NetBufferLists;
			while (CurrNbl)
			{
				pFilter->OutstandingSends++;

				NextNbl = NET_BUFFER_LIST_NEXT_NBL(CurrNbl);
				NET_BUFFER_LIST_NEXT_NBL(CurrNbl) = NULL;
				DEBUGP(4, ("===>BufferList: NBL = %p, begin the NB process.\n", NetBufferLists));
				for(pCurrentNetBuffer =  NET_BUFFER_LIST_FIRST_NB(CurrNbl);
					pCurrentNetBuffer != NULL;
					pCurrentNetBuffer =  NET_BUFFER_NEXT_NB(pCurrentNetBuffer)) 
				{
					if( NULL==NdisGetDataBuffer(pCurrentNetBuffer,scanlength,pPakData,1,0)){
						goto MoveToNextNbl;		
					} 
					...
					//TODO:filter the databuffer
					IF FOUND THE PACKET NEED TO DROP
					GO MoveToNextNbl;
					...
					DbgPrint("End one NB process!\n");
				}
MoveToNextNbl:
				//
				if( StreamFlag & STREAM_POLICY_DENY)
				{
					INSERT_TAIL_NBL_QUEUE( &NblDropQueue, CurrNbl );
				}else{
					INSERT_TAIL_NBL_QUEUE( &NblSendQueue, CurrNbl );
				}
				CurrNbl= NextNbl;
			}
		}
		// Send Passthrough NetBufferLists
		if( GET_NBL_QUEUE_HEAD( &NblSendQueue ) )
		{
    		NdisFSendNetBufferLists(
        	pFilter->FilterHandle,
        	GET_NBL_QUEUE_HEAD( &NblSendQueue ),
        							PortNumber,
        							SendFlags);
		}
		// Complete Blocked NetBufferLists
		if( GET_NBL_QUEUE_HEAD( &NblDropQueue ) )
		{
    		NdisFSendNetBufferListsComplete(
        	pFilter->FilterHandle,
        	(PNET_BUFFER_LIST)GET_NBL_QUEUE_HEAD( &NblDropQueue ),
        	DispatchLevel?NDIS_SEND_COMPLETE_FLAGS_DISPATCH_LEVEL:0);
		}
	}
	while (bFalse);
	DEBUGP(4, ("<===SendNetBufferList. \n"));
}


注意:这个示例不是修改net buffer,也不是drop掉某一个net buffer。它针对stream进行操作,因为一个的NBL中保存的是相同的“srcIP、dstIP、srcPort、dstPort”,它们属于一个stream,如果一个NBL中有多个NETBUFFER,这些NETBUFFER都会被drop掉。

关于NBL_QUEUE_HEADER NblSendQueue;等相关的操作请参考:

http://ndis.com/ndis-ndis6/packetsort/packetsort.htm

Thanks, Thomas.

cumirror
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
NDIS LWF网络过滤驱动开发(一):LWF简介及数据结构说明
mdcire的专栏
09-27 4846
写在之前:换工作了,做Win驱动开发,还是网络过滤驱动。之前从未接触过这些,只是做着单机的桌面应用程序,所以一切是从头开始。从驱动到网络,很多的不懂,一步步走来,现在多少有些进展了,现在就总结下这段过程.(驱动开发确实麻烦,现在看见蓝屏依然会心惊肉跳) 一.什么是ndis lwf驱动: NDIS: Network Driver Interface Specification.就是微软的一套网络
howtos:Howtos
04-07
怎样做Linux Howtos 这些方法假设用于设置!
how to how to how to
05-25
how to
r、s sm2签名值_1st CHARGEBACKS
热门推荐
weixin_28917137的博客
01-30 3万+
Clic=k to editMaster text stylesSec=ondlevelThi=rdlevelFou=rthlevelFif=th level------=_NextPart_01C8C0AA.B2782250Content-Location: file:///C:/99A9BEDA/file8490.files/master03_stylesheet.cssContent-Tra...
文件工具-base64转byte数组-网络图写入本地
RT_0114的博客
08-27 9505
package org.wms.inv.wika.utils; import org.apache.commons.codec.binary.Base64; import sun.misc.BASE64Decoder; import sun.misc.BASE64Encoder; import javax.xml.bind.DatatypeConverter; import java.io.*; import java.net.URL; import java.util.Arrays; import .
windows7以上平台NDIS6框架的NDIS协议驱动开发
首席技术总监的专栏
02-26 1631
提到NDIS协议驱动,可能比较陌生,因为毕竟用得挺少的。 但是一提到WireShark或ethereal等抓包软件,大家就不再陌生了。 这些抓包软件在windows平台大都使用的是winpcap接口库,winpcap应该也不陌生。 至少在我大学期间就开始接触到了这个接口库。 只是当时对它的实现原理并不熟悉,也就只会简单调用它提供的接口来抓包玩,即便如此,当时也觉得挺神奇的。 这么多年过去,随着对操...
CVE-2020-16898逆向分析
Anansi的博客
09-13 1356
CVE-2020-16898漏洞是一个典型的栈溢出漏洞,此漏洞由于出现在内核层所以最有可能造成的便是系统蓝屏宕机,也不排除利用栈溢出造成任意代码执行,但由于系统自身带有的___security_cookie安全机制,造成代码执行的可能不大。 受影响的版本: windows_10 : 1709/1803/1903/1909/2004 window_server_2019 : * window_server : 1903/1909/2004 官方安全更新:Microsoft 360cert使用IDA Pro
Windows过滤驱动 WFP代码基本流程的剖析 bypass前期准备
sway913的博客
05-12 2067
今天实际看一下,WFP的Callout驱动的代码。先从DriverEntry开始: 1,在DriverEntry需要创建驱动对象和设备对象, 1.1 由于不是PNP设备,需要设置创建驱动对象的标志为config.DriverInitFlags |= WdfDriverInitNonPnpDriver. 1.2 调用WdfDriverCreate创建驱动对象。 1.3 调用WdfControlDeviceInitAllocate通过驱动对象创建 WDFDEVICE_IN...
ip分片代码_CVE202016898 “坏邻居”Windows TCP/IP 远程代码执行漏洞分析
weixin_39791225的博客
11-24 434
本文作者 Strawberry@ QAX A-TEAM2020年10月14日,微软修复了一个紧急漏洞:Windows TCP/IP 远程代码执行漏洞,漏洞编号为 CVE-2020-16898。Windows TCP/IP 堆栈在处理 ICMPv6 路由器广告数据包时,存在一个远程执行代码漏洞。攻击者可通过向受影响主机发送特制 ICMPv6 路由广告包来利用此漏洞,成功利用此漏洞的攻击...
HowTo2152.zip_howto2152
07-14
包含了将近100张图表,这些图表能用来根据载流能力和温度限制条件来精确估计导线的宽度,这个Excel工具允许设计者根据不同的叠层结构和设计条件填入不同的数值来计算导线宽度。很简单的在绿色单元格内输入项目的设计...
how to listen 测音软件 训练金耳朵
03-18
软件为测试听音软件 可以自定义语音、训练自己的耳朵可以分辨音频的细微差别
adc.zip_How to Pack
09-19
this article explain how to make a program in visual c++ to transmit to srial port from window 7 or window xp version service pack 2.
10.list的模拟实现(普通迭代器和const迭代器的类模板)
Q2691463021的博客
04-14 592
list是可以在常数范围内在任意位置进行插入和删除的序列式容器,并且该容器可以前后双向迭代。list的底层是双向链表结构,双向链表中每个元素存储在互不相关的独立节点中,在节点中通过指针指向其前一个元素和后一个元素。list与非常相似:最主要的不同在于是单链表,只能朝前迭代,已让其更简单高效。与其他的序列式容器相比(),list通常在任意位置进行插入、移除元素的执行效率更好。与其他序列式容器相比,list和最大的缺陷是不支持任意位置的随机访问,比如:要访问list
list基础知识
qq_72976322的博客
04-17 478
list 是双向链表,是C++的容器模板,其接收两个参数,即 list(a,b) 其中 a 表示指定容器中存储的数据类型,b 表示用于分配器内存的分配器类型,默认为 list ;list 的特点:双向性:由于是双向链表,每个节点都包含前一个节点和后一个节点的指针,故此可以在 O(1) 内实现对某个元素的插入、删除,但对于访问读取来讲就需要 O(n) 的时间;动态大小:类似于 vector ,其大小也会随着需求扩展或收缩,无需提前定义容器的大小;
【WSL报错】执行:wsl --list --online;错误:0x80072ee7
最新发布
芜湖~米汤来喽~
04-18 328
执行:wsl --list --online 报错:错误: 0x80072ee7
25. 【Android教程】列表控件 ListView
这是一个web全栈开发的博客,取其精华去其糟粕,争取让大家一看就懂,一学就会,一用就成~
04-15 932
Override返回列表的长度,即 ListView 需要展示的 item 数量。通常我们会将数据保存在 List 或者数组当中,从而可以通过数据或者 list 获取列表的长度返回即可。比如如果我们通过 ArrayList 保存列表的数据,那么我们可以通过 List 的 size() 方法获取列表的长度,并在 getCount() 回调方法中返回,如下:@Override。
Collection-List-ArrayList源码分析
xiong_tai的博客
04-13 655
ArrayList实现了List接口,是顺序容器,即元素存放的数据与放进去的顺序相同,允许放入null元素,底层通过数组实现。除该类未实现同步外,其余跟Vector大致相同。每个ArrayList都有一个容量(capacity),表示底层数组的实际大小,容器内存储元素的个数不能多于当前容量。当向容器中添加元素时,如果容量不足,容器会自动增大底层数组的大小。前面已经提过,Java泛型只是编译器提供的语法糖,所以这里的数组是一个Object数组,以便能够容纳任何类型的对象。
29. 【Android教程】折叠列表 ExpandableListView
这是一个web全栈开发的博客,取其精华去其糟粕,争取让大家一看就懂,一学就会,一用就成~
04-17 1114
本节学习一个可折叠的 ListView,可以用在一些需要分类的场景下。通过 ExpandableListView 我们可以首先在 ListView 上展示大的分类,当点击某个类别的时候再将 ListView 做一个展开,展示该类下的所有子类供用户选择。它与 ListView 的不同主要是 ExpandableListView 提供了两级列表,可以方便的做伸展和收缩。
how to solve it mobi
01-12
如何解决“how to solve it mobi”? 作为一个移动用户,您可以通过以下几种方法来解决此问题。 首先,您可以尝试重新启动您的移动设备。有时候设备会出现一些临时问题,通过重新启动可以解决一些小问题。 其次,您...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值