WFP 驱动环境搭建(WIN10)和编译

最新推荐文章于 2023-06-08 09:04:27 发布
最新推荐文章于 2023-06-08 09:04:27 发布
阅读量4.9k 收藏 5
点赞数 1
分类专栏: Windows环境和调试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jimk1983/article/details/78284236
版权
网易博客迁移,不知道为什么封禁了帐号,先迁移部分博客过来到csdn
(吐槽:网易莫名其妙的封禁了博客帐号,也不告知是什么原因! 所以这种云上的或者外部网站的,真的不好,哪天你的大量心血就没了!:( , 这个对用户知识太不尊重了!CSDN最好能够提供设置博客分享权限的功能,因为有时候自己工作的一些笔记会记录,但是由于设置商业机密,这样就不能放在博客上进行分享,此时设置下博客权限,至少对一般人是可以屏蔽的!!)
1. 按照VS2015开发工具 (实际测试采用版本,1607,对应的版本为)
Microsoft Visual Studio Professional 2015 (
专业版:HMGNV-WCYXV-X7G9W-YCX63-B98R2
企业版:HM6NR-QXX7C-DFW2Y-8B82K-WTYJV)
Debugging Tools for Windows   10.0.14393.0
2. 按照WDK10开发包 (Windows Driver Kit   10.0.14393.0)
注意: 一定SDK和WDK版本必须一致,否则会出现各种环境错误,编译不通过问题
https://developer.microsoft.com/zh-cn/windows/hardware/windows-driver-kit
3. 输入测试代码
4. 设置工程属性
设置工程为多字节
C/C++ -- > 告警删除
C/C++ -- > 打开预处理定义,增加:  NDIS630, _WINSOCK_DEPRECATED_NO_WARNINGS(这个是关闭WINSock的一些告警)
链接--> 添加库uuid.lib;ndis.lib;fwpkclnt.lib
Driver Setting --> general --> Target OS Version: windows10 / windows7选择自己的调试目标平台, 编译对应平台的驱动。
Driver Signing: Sign Mode  -->Off  , 关闭签名(如果打开签名,则直接安装好证书后,选择证书和交叉证书等即可)
 (PS: 证书签名还是需要使用正规的签名证书
不过一般都是交叉证书,需要将多本证书都放在签名脚本中
然后打开命令行,进入到VC\Bin\vcvar.bat环境变量设置,运行该脚本后
就可以使用signtool来进行签名了)
签名指导:
https://www.digicert.com/code-signing/signcode-signtool-command-line.htm
https://www.digicert.com/code-signing/driver-signing-in-windows-using-signtool.htm#using_kernel_mode
https://msdn.microsoft.com/en-us/library/windows/hardware/dn653569(v=vs.85).aspx
https://stackoverflow.com/questions/7258613/driver-install-fails-because-cross-signing-chain-doesnt-contain-microsoft
https://knowledge.verisign.com/support/code-signing-support/index?page=content&actp=CROSSLINK&id=SO5820
例如:
signtool sign /v /ac ms_vericode.cer /f certcodesign.pfx /p **** /n "XXXX有限公司" /tr http://timestamp.wosign.com/rfc3161 /fd sha256  filepath.sys
signtool verify /v /kp filepath.sys
附:
(https://github.com/Microsoft/Windows-driver-samples/blob/master/filesys/miniFilter/minispy/filter/minispy.c#L980   -----windows在github上的驱动示例源码)
5. 安装VM12(5A02H-AU243-TZJ49-GTC7K-3C61N),下载 VirtualKD,构建双机调试

VirtualKD 是一个开源的调试辅助软件,能够帮助 WinDBG 与 VMWare 建立快速通讯

网址: http://virtualkd.sysprogs.org/

下载后文件为VirtualKD-3.0.exe, 放入到虚拟机,打开解压,会有一个target目录,右键“管理员”运行vminstall.exe

注意: win8以后还要禁止签名,查看: http://virtualkd.sysprogs.org/win8/

真机中为VMMON64.exe,打开设置调试器路径: 点击Debugger path,选择windebug.exe路径, win10 kits路径为:

C:\Program Files (x86)\Windows Kits\10\Debuggers\x64\windebug.exe

安装windows调试驱动:

C:\Program Files (x86)\Windows Kits\10\Remote\x64\WDK Test Target Setup x64-x64_en-us.msi

6. 重启虚拟机,进入内核调试模式:

7. 打开DebugView, 复制到reg文件中打开注册,重启虚拟机即可。   -->这个在Win7_64(VM)对应到外面的Win10_64可以,Win7_32(VM)无法打印出来

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Debug Print Filter]

"DEFAULT"=dword:0000000F

8. windbg的符号表路径

!sym noise

D:\Work\DaiDoubleFCBTest\Drv_20171026_filedeny\Drv;srv*;SRV*D:\win10_net* http://msdl.microsoft.com/download/symbols

.reload /f nt   ---可以指定模块下载




错误1:
出现这样的错误error LNK2019: unresolved external symbol  _DriverEntry@8  referenced in function  _GsDriverEntry@8
解决: 将文件修改为*.c 或者函数加上extern "C", 编译器C++编译为@8, 不是C的开头。


测试代码如下:

#include <ntddk.h>
#pragma warning(push)
#pragma warning(disable:4201)       
#include <fwpsk.h>
#pragma warning(pop)
#include <fwpmk.h>

#include <ws2ipdef.h>
#include <in6addr.h>
#include <ip2string.h>
VOID
DriverUnload(
IN  PDRIVER_OBJECT driverObject
)
{
        UNREFERENCED_PARAMETER(DriverObject);
KdPrint(("CloudScreen DriverUnload successful!"));
DbgPrint("CloudScreen DriverUnload successful!");
return;
}

NTSTATUS
DriverEntry(
IN  PDRIVER_OBJECT  driverObject,
IN  PUNICODE_STRING registryPath
)
{
NTSTATUS status = STATUS_SUCCESS;
UNREFERENCED_PARAMETER(registryPath);
driverObject->DriverUnload = DriverUnload;
KdPrint(("CloudScreen DriverEntry successful!"));
DbgPrint("CloudScreen DriverEntry successful!");
return status;
}



参考:
http://www.mycode.net.cn/language/cpp/1771.html
工具下载:
https://developer.microsoft.com/zh-cn/windows/hardware/license-terms-enterprise-wdk
https://developer.microsoft.com/zh-cn/windows/hardware/windows-driver-kit
灵魂漫步者
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Win64 驱动内核编程-16.WFP网络监控驱动(防火墙)
天使也掉毛
03-14 1万+
WFP驱动监控网络     WFP 是微软推出来替代 TDI HOOK、NDIS HOOK 等拦截网络通信的方案,WFP 的框架非常庞大,在 RING3 和 RING0 各有一套类似的函数,令人兴奋的是,即使在 R3 使用 WFP,也可以做到全局拦截访问网络。由于 WFP 的范围太广,实在难以一言概括,感兴趣的朋友可以自行到 MSDN 上查看微软对它的官方概述。本文的目的,是给大家理顺 WFP 
WFP驱动--进程规则拦截
03-20
总的来说,"WFP驱动--进程规则拦截"是一种高级的系统监控和控制技术,它结合了WFP的强大功能和内核驱动的高权限,为开发者提供了深入洞察和管理系统行为的能力。然而,这也需要开发者具备深厚的内核编程知识和谨慎的...
WFP注意事项
kernweak的博客
07-23 636
wfp开发是遇到 FwpmEngineOpen0无法解析;NET_BUFFER_LIST未定义 在链接器->输入 的附加依赖项中加入如下lib,自己项目需要什么就加什么 $(DDK_LIB_PATH)\NTOSKrnl.lib;$(DDK_LIB_PATH)\FwpKClnt.lib;$(DDK_LIB_PATH)\NetIO.lib;$(DDK_LIB_PATH)\NDIS.lib...
WFP(三)——编译、部署驱动文件*.sys——微软msnmntr项目
jmhIcoding
02-21 3668
通过WFP,我们可以编译得到sys驱动文件。此时需要我们把sys驱动文件部署到目标主机上,本文介绍部署的方式方法。 术语 host computer: 宿主主机,开发、编译驱动的主机 target/test computer:目标主机,安装驱动产品的主机 deploying the driver:部署过程,将宿主主机编译得到的驱动安装到目标主机的过程。 步骤 在目标主机,以管理员权限打开cmd,...
WFP(二)——环境搭建 vs2017+WDK
jmhIcoding
02-20 3282
本文将搭建vs2017 + WDK的驱动开发环境以开发 WFP 应用。 实测,此方法在windows 10有效。 步骤 1. 确定windows 10 的版本号 打开windows 10 的系统属性,查看版本号。 2. msdn官网下载vs2017 ed2k://|file|mu_visual_studio_community_2017_version_15.3_x86_x64_11100062...
驱动开发:内核封装WFP防火墙入门
CSDN
06-08 9494
注册了一个过滤点,此处我们必须要注意三个回调函数,classifyFn, notifyFn, flowDeleteFn 他们分别的功能时,事前回调,事后回调,事后回调,而WFP框架中我们最需要注意的也就是对这三个函数进行重定义,也就是需要重写函数来实现我们特定的功能。事前更重要一些,如果需要监控网络流量则需要在事前函数中做处理,而如果是监视则可以在事后做处理,既然要在事前进行处理,那么我们就来看看事前是如何处理的流量。当有新的网络数据包路由到事前函数时,程序中会通过如下案例直接得到我们所需要的数据包头,
使用BAT文件编译驱动
※一路风尘※
12-28 344
具体讨论参考 OSR Online的“Using ".bat" file to build driver ”。[没有固定连接,Google搜索得到] 根据讨论内容,自己整理的: @echo off @set PROJDIR=C:\Users\Leyond\Desktop\first @if not exist "%WDKPATH%\bin\setenv.bat" set WDKPATH=...
WinPcap-NDIS-WFP-Drivers-master_NDISWFP_ndis_wfp_wfp驱动_WFPNDIS_源
10-03
此资料包“WinPcap-NDIS-WFP-Drivers-master_NDISWFP_ndis_wfp_wfp驱动_WFPNDIS_源”提供了这些技术的源代码,为开发者深入理解其工作原理和应用提供了宝贵的资源。 首先,让我们详细了解这三个核心概念: 1. **...
wfp驱动网络防火墙监控参考
06-13
wfp驱动网络防火墙监控参考,详细代码涉及到了防火墙,网络过滤等,只做参考使用。
WFP-Traffic-Redirection-Driver:WFP流量重定向驱动程序用于基于Windows筛选平台(WFP)重定向网络层和成帧层上的NIC流量
05-09
Rawsock嗅探)如何建立/部署要求Visual Studio 2017 Windows驱动程序套件10建立/部署步骤在主机上的Visual Studio中生成.vcxproj 在目标计算机上启用测试签名在目标计算机上安装.cer (证书)和.inf (驱动程序配置...
C#实验四 文件与WFP应用程序设计
01-01
设计并实现一个小型记事本应用程序 当用户执行“查找替换”命令后,将弹出如图2所示的窗口。
libwfp:用于与Windows筛选平台(WFP)进行交互的C ++库
05-24
穆尔瓦德libwfp libwfp是用于与Windows筛选平台(WFP)进行交互的C ++库。 值得注意的是,libwfp提供了用于定义提供程序,过滤器和条件集的构建器。 签出代码 该代码依赖于另一个存储库: mullvad / windows图书馆 具体而言,此处包含的libcommon库用于标准库未提供的常规功能。 出于灵活性的考虑,该存储库未包含在子模块中。 相反,它需要在与libwfp相同的级别下检出: mkdir libwfp && cd libwfp git clone https://github.com/mullvad/windows-libraries.git git clone https://github.com/mullvad/libwfp.git 开发环境 libwfp需要使用Visual Studio2019。任何版本都可以使用,例如Visual S
wfp_wfp_
09-29
【标题】:“wfp_wfp_” 指的可能是 Windows Filtering Platform (WFP) 的相关文档,这是一个在Windows操作系统中用于网络数据包过滤和网络安全的重要组件。 【描述】:“wfp使用文档,包含创建和使用,中文ppt” ...
一个完整的WFP驱动(详细注释)
qq_41490873的博客
11-14 3337
#include <ntddk.h> #pragma warning(push) #pragma warning(disable:4201) // unnamed struct/union #pragma warning(disable:4995) #include <fwpsk.h> #pragma warning(pop) #include <ndis.h> #include <fwpmk.h> #include <limits.h&gt
VS驱动开发错误解决
jmhIcoding
03-07 897
1. NET_BUFFER_LIST未定义 方法:在内核的入口处,所有include 之前添加如下代码: #define NDIS620 例如在DriverEntry 函数定义的文件最开始添加。 #define NDIS620 #include &lt;ntddk.h&gt; #include &lt;fwpsk.h&gt; #include &lt;fwpmk.h&gt; #include &...
WFPWFP简介
dayuliang0464的博客
03-02 736
·过滤引擎是WFP的核心组成部分,过滤引擎分为两大层:用户态基础过滤引擎和内核态过滤引擎。基础过滤引擎会与内核过滤引擎交互。·内核态过滤引擎是整个过滤引擎的主体,内部分为多个分层,每分层都代表着网络协议栈特定的层。每个分层存在子层和过滤器。内核过滤引擎检查网络数据包是否 命中过滤器的规则,命中的过滤器,执行这些过滤器指定的动作。·一般,过滤的动作为放行或拦截网络数据包。实际中,内核过滤...
wfp 驱动编译报错 解决方案.
苦逼码农
11-08 4389
C:\Program Files (x86)\Windows Kits\8.0\Include\KM\fwpsk.h(2075): error C2065: “NET_BUFFER_LIST”: 未声明的标识符 1>C:\Program Files (x86)\Windows Kits\8.0\Include\KM\fwpsk.h(2075): error C2065: “packetList”
WFP开发学习笔记
zhangge3663的博客
09-18 1311
自己在开发学习过程中得到的经验,供新手参考,老鸟请指点不足之处: 1.如何关联数据(路径、进程ID等)到其他层? 答:使用函数FwpsFlowAssociateContext。 2.FlowContext关联的数据是否可以关联到FWPS_LAYER_*任意层? 答:经过实践测试,发现数据可以关联到TRANSPORT以上层,但不能关联到IPPACKET层(原因未知,微软没有给出明确说明)。 ...
windows内核编程-文件操作
大草的博客
12-03 1732
windows内核编程-文件操作-日志记录
TDI和WFP驱动区别
最新发布
07-27
TDI和WFP是Windows操作系统中的两种不同的驱动技术。TDI是Transport Driver Interface的缩写,它在Windows 2000到Windows Vista期间被支持。TDI是一套接口的集合,用于连接用户态的socket和NDIS协议驱动,实现socket的创建、发送和接收数据。\[1\] WFP是Windows Filtering Platform的缩写,它是取代TDI的新技术。WFP是一种网络过滤平台,用于在网络数据包传输过程中进行过滤和处理。WFP提供了一种灵活的方式来管理和控制网络流量,可以实现防火墙、入侵检测和网络安全等功能。与TDI相比,WFP提供了更高级的网络过滤和处理功能,并且支持更多的Windows操作系统版本。\[1\] 总结来说,TDI是一种用于连接用户态的socket和NDIS协议驱动的接口集合,而WFP是一种网络过滤平台,用于在网络数据包传输过程中进行过滤和处理。WFP相比于TDI提供了更高级的网络过滤和处理功能,并且支持更多的Windows操作系统版本。 #### 引用[.reference_title] - *1* *2* *3* [Windows网络驱动、NDIS驱动(微端口驱动、中间层驱动、协议驱动)、TDI驱动(网络传输层过滤)、WFP(Windows ...](https://blog.csdn.net/zhangge3663/article/details/100918732)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值