WinDivert+VS2015——安装、学习、示例

最新推荐文章于 2024-04-16 11:12:11 发布
最新推荐文章于 2024-04-16 11:12:11 发布
阅读量7.6k 收藏 17
点赞数 2
分类专栏: 驱动开发 文章标签: WinDivert
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jmh1996/article/details/87879703
版权

背景

导师布置一个主动测量的小任务:

  1. 在windows是实现主动修改某特定进程发出的IP数据包的IPID字段。

这个任务,说简单不简单,说复杂不复杂。主要是解决两个问题:

  • 如何确定特定进程的数据包?简单起见能确定到传输层就行。
  • 如何修改特定的数据包?

关键在于如何拦截ip层的数据包,并修改它。因为修改是对流的“主动”行为,winpcap类似的东西是做不来的。而且因为需要修改的是IP层的东西,因此常规的钩子程序也不好处理,因为钩子一般是去hook系统的socket函数,hook这些函数 只能修改应用层的内容。目前已有的技术手段有使用WFP框架的,或者类似的NIDS框架的。但是这个东西开发起来不是很顺手呀。

后面,得知有windivert 这个神器!!!!它是基于WFP开发的,但是提供很好使的API !它可以支持对IP数据包的capture和修改,以及发送
2021.6.23修改: 最新版本的windivert已经支持按照processID过滤数据包。

windivert的官网:https://reqrypt.org/windivert-doc.html
看看它的特点吧:

  • capture network packets
  • filter/drop network packets
  • sniff network packets
  • (re)inject network packets
  • modify network packets

还是很棒的呀!

windivert 快速学习

0.vs2013安装windivert

步骤:

  1. 下载windivert的二进制版本 https://reqrypt.org/download/WinDivert-1.4.3-A.zip ,并解压。
  2. 新建vs项目,设置项目属性,在项目的VC++ Directories里面,在包含目录添加windivert的include目录。在库目录添加windivert的x86_64目录。
    在这里插入图片描述
    在这里插入图片描述
  3. 在链接器——输入 ——添加新的依赖,增加WinDivert.lib
    在这里插入图片描述
  4. 测试一波。
    测试代码见文章末尾。

1. 几个重要的 api

  • WinDivertOpen
HANDLE WinDivertOpen(
    __in const char *filter,
    __in WINDIVERT_LAYER layer,
    __in INT16 priority,
    __in UINT64 flags
);

打开一个windivert对象,返回一个对象指针。打开的过程中,需要制定 过滤规则,过滤层,过滤器的优先级,以及windivert对象的工作模式。

过滤规则的编写:参见https://reqrypt.org/windivert-doc.html 第7部分

过滤层参数说明:

LayerDescription
WINDIVERT_LAYER_NETWORK = 0The network layer. This is the default. 网络层
WINDIVERT_LAYER_NETWORK_FORWARDThe network layer (forwarded packets).转发层

优先级的说明:其实这里说明的就是指明过滤规则的优先级。值越大,优先级越大。 对于一个数据包,如果它同时匹配多个Windivert对象的规则,那么,它依次被这些对象按照优先级从高到低的次序匹配, 直到遇到匹配的规则。
详细见文档解释:Different WinDivert handles can be assigned different priorities by the priority parameter. Packets are diverted to higher priority handles before lower priority handles. Packets injected by a handle are then diverted to the next priority handle, and so on, provided the packet matches the handle’s filter. A packet is only diverted once per priority level, so handles should not share priority levels unless they use mutually exclusive filters. Otherwise it is not defined which handle will receive the packet first. Higher priority values represent higher priorities, with WINDIVERT_PRIORITY_HIGHEST being the highest priority, 0 the middle (and a good default) priority, and WINDIVERT_PRIORITY_LOWEST the lowest priority.

过滤FLAG :该参数指明Windivert对象到底是用于监听、丢包、还是修改包模式。

FlagDescription
WINDIVERT_FLAG_SNIFFWinDivert进入监听模式,只是被动监听,其功能等同于Winpcap
WINDIVERT_FLAG_DROPWinDivert单纯地把满足过滤条件的包丢弃,此模式下不能读取包内容
WINDIVERT_FLAG_DEBUGWinDivert把满足过滤的条件的包扣下来,等待被修改然后重新注入
  • WinDivertRecv
     BOOL WinDivertRecv(
        __in HANDLE handle,
        __out PVOID pPacket,
        __in UINT packetLen,
        __out_opt PWINDIVERT_ADDRESS pAddr,
        __out_opt UINT *recvLen
    );

接收特定WinDivert对象的捕获的包的函数。
handle: WinDivertOpen的返回值
pPacket : 用于存储包的buffer,缓冲区,这个是用户提供的。
packetLen: 缓冲区的大小;如果包的实际长度大于此值,则截取packetLen个字节到pPacket。
pAddr :包性质说明结构。该结构体,指明目前抓取到的包的性质。说明如下:

typedef struct
{
    INT64  Timestamp;
    UINT32 IfIdx;
    UINT32 SubIfIdx;
    UINT8  Direction:1;
    UINT8  Loopback:1;
    UINT8  Impostor:1;
    UINT8  PseudoIPChecksum:1;
    UINT8  PseudoTCPChecksum:1;
    UINT8  PseudoUDPChecksum:1;
} WINDIVERT_ADDRESS, *PWINDIVERT_ADDRESS;

字段说明:
Timestamp: WinDivert捕获到该包的时间戳
IfIdx: 该包所在的网卡序号
SubIfIdx: 网卡子序号
Direction: 包的方向,主要有入包和出包之分。

含义
WINDIVERT_DIRECTION_OUTBOUNDwith value 0 for outbound packets.
WINDIVERT_DIRECTION_INBOUNDwith value 1 for inbound packets.

Loopback: 是否是回环包。Set to 1 for loopback packets, 0 otherwise
Impostor: 是否是已经修改的包。Set to 1 for impostor packets, 0 otherwise. 注意,如果是修改后的包,这个值会被值为1。这个值主要是为了防止出现同一个包先被WinDivert捕获到,然后WinDivertSend后,又被捕获到。

PseudoIPChecksum: Set to 1 for packets with a pseudo IPv4 checksum, 0 otherwise.
PseudoTCPChecksum: Set to 1 for packets with a pseudo TCP checksum, 0 otherwise.
PseudoTCPChecksum: Set to 1 for packets with a pseudo UDP checksum, 0 otherwise.

recvlen:实际拷贝到pPacket缓冲区的字节数。可能为0.

!!!注意:WinDivertRecv() should not be used on any WinDivert handle created with the WINDIVERT_FLAG_DROP set. !!!

  • WinDivertSend
 BOOL WinDivertSend(
    __in HANDLE handle,
    __in PVOID pPacket,
    __in UINT packetLen,
    __in PWINDIVERT_ADDRESS pAddr,
    __out_opt UINT *sendLen
);

handle: WinDivertOpen()返回值.
pPacket: 待发包的内容.
packetLen: pPacket的总长度.
pAddr: 待发包的性质 WINDIVERT_ADDRESS.
sendLen: The total number of bytes injected. Can be NULL if this information is not required.

注意:发包之前 ,一定要让包有正确的校验值。!!!

  • WinDivertClose 这个没啥好说的
BOOL WinDivertClose(
    __in HANDLE handle
);

2.一些辅助api

主要是一些包的解析、校验和的计算api.

  • WinDivertHelperParsePacket 头部解析api
BOOL WinDivertHelperParsePacket(
   __in PVOID pPacket,
   __in UINT packetLen,
   __out_opt PWINDIVERT_IPHDR *ppIpHdr,
   __out_opt PWINDIVERT_IPV6HDR *ppIpv6Hdr,
   __out_opt PWINDIVERT_ICMPHDR *ppIcmpHdr,
   __out_opt PWINDIVERT_ICMPV6HDR *ppIcmpv6Hdr,
   __out_opt PWINDIVERT_TCPHDR *ppTcpHdr,
   __out_opt PWINDIVERT_UDPHDR *ppUdpHdr,
   __out_opt PVOID *ppData,
   __out_opt UINT *pDataLen
);
  • WinDivertHelperParseIPv4Address ip地址转换api ,点分十进制转INT。
 BOOL WinDivertHelperParseIPv4Address(
    __in const char *addrStr,
    __out_opt UINT32 *pAddr
);
  • WinDivertHelperCalcChecksums 计算校验值
 UINT WinDivertHelperCalcChecksums(
    __inout PVOID pPacket,
    __in UINT packetLen,
    __in_opt PWINDIVERT_ADDRESS pAddr,
    __in UINT64 flags
);

!!!!注意!这个函数会直接在pPacket缓冲区中计算各个校验值。返回值是表明计算了多少个校验值。!!!

3. 基本流程

Windivert的基本流程贼好使,就三大步。

  • 1.打开一个windivert对象,设置好过滤规则。
  • 2.编写一个循环:抓包——>修改包——>计算校验和——>发送注入后的包
  • 3.循环结束后,关闭windivert对象。
    HANDLE handle;          // WinDivert handle
    WINDIVERT_ADDRESS addr; // Packet address
    char packet[MAXBUF];    // Packet buffer
    UINT packetLen;

    handle = WinDivertOpen("...", 0, 0, 0);   // Open some filter
    if (handle == INVALID_HANDLE_VALUE)
    {
        // Handle error
        exit(1);
    }

    // Main capture-modify-inject loop:
    while (TRUE)
    {
        if (!WinDivertRecv(handle, packet, sizeof(packet), &addr, &packetLen))
        {
            // Handle recv error
            continue;
        }

        // Modify packet.

        WinDivertHelperCalcChecksums(packet, packetLen, &addr, 0);
        if (!WinDivertSend(handle, packet, packetLen, &addr, NULL))
        {
            // Handle send error
            continue;
        }
    }
    WinDivertClose(handle);

示例

#include <winsock2.h>
#include <windows.h>
#include <ctype.h>
#include <stdio.h>
#include <stdlib.h>

#include "windivert.h"

#define MAXBUF          0xFFFF
#define PROXY_PORT      34010
#define ALT_PORT        43010
#define MAX_LINE        65

/*
 * Proxy server configuration.
 */
typedef struct
{
    UINT16 proxy_port;
    UINT16 alt_port;
} PROXY_CONFIG, *PPROXY_CONFIG;

typedef struct
{
    SOCKET s;
    UINT16 alt_port;
    struct in_addr dest;
} PROXY_CONNECTION_CONFIG, *PPROXY_CONNECTION_CONFIG;

typedef struct
{
    BOOL inbound;
    SOCKET s;
    SOCKET t;
} PROXY_TRANSFER_CONFIG, *PPROXY_TRANSFER_CONFIG;

/*
 * Lock to sync output.
 */
static HANDLE lock;

/*
 * Prototypes.
 */
static DWORD proxy(LPVOID arg);
static DWORD proxy_connection_handler(LPVOID arg);
static DWORD proxy_transfer_handler(LPVOID arg);

/*
 * Error handling.
 */
static void message(const char *msg, ...)
{
    va_list args;
    va_start(args, msg);
    WaitForSingleObject(lock, INFINITE);
    vfprintf(stderr, msg, args);
    putc('\n', stderr);
    ReleaseMutex(lock);
    va_end(args);
}
#define error(msg, ...)                         \
    do {                                        \
        message("error: " msg, ## __VA_ARGS__); \
        exit(EXIT_FAILURE);                     \
    } while (FALSE)
#define warning(msg, ...)                       \
    message("warning: " msg, ## __VA_ARGS__)

/*
 * Cleanup completed I/O requests.
 */
static void cleanup(HANDLE ioport, OVERLAPPED *ignore)
{
    OVERLAPPED *overlapped;
    DWORD iolen;
    ULONG_PTR iokey = 0;

    while (GetQueuedCompletionStatus(ioport, &iolen, &iokey, &overlapped, 0))
    {
        if (overlapped != ignore)
        {
            free(overlapped);
        }
    }
}

/*
 * Entry.
 */
int __cdecl main(int argc, char **argv)
{
    HANDLE handle, thread;
    UINT16 port, proxy_port, alt_port;
    int r;
    char filter[256];
    INT16 priority = 123;       // Arbitrary.
    PPROXY_CONFIG config;
    unsigned char packet[MAXBUF];
    UINT packet_len;
    WINDIVERT_ADDRESS addr;
    PWINDIVERT_IPHDR ip_header;
    PWINDIVERT_TCPHDR tcp_header;
    OVERLAPPED *poverlapped;
    OVERLAPPED overlapped;
    HANDLE ioport, event;
    DWORD len;

    // Init.
    if (argc != 2)
    {
        fprintf(stderr, "usage: %s dest-port\n", argv[0]);
        exit(EXIT_FAILURE);
    }
    port = (UINT16)atoi(argv[1]);
    if (port < 0 || port > 0xFFFF)
    {
        fprintf(stderr, "error: invalid port number (%d)\n", port);
        exit(EXIT_FAILURE);
    }
    proxy_port = (port == PROXY_PORT? PROXY_PORT+1: PROXY_PORT);
    alt_port = (port == ALT_PORT? ALT_PORT+1: ALT_PORT);
    lock = CreateMutex(NULL, FALSE, NULL);
    if (lock == NULL)
    {
        fprintf(stderr, "error: failed to create mutex (%d)\n",
            GetLastError());
        exit(EXIT_FAILURE);
    }
    ioport = CreateIoCompletionPort(INVALID_HANDLE_VALUE, NULL, 0, 0);
    if (ioport == NULL)
    {
        error("failed to create I/O completion port (%d)", GetLastError());
    }
    event = CreateEvent(NULL, FALSE, FALSE, NULL);
    if (event == NULL)
    {
        error("failed to create event (%d)", GetLastError());
    }

    // Divert all traffic to/from `port', `proxy_port' and `alt_port'.
    r = snprintf(filter, sizeof(filter),
        "tcp and "
        "(tcp.DstPort == %d or tcp.DstPort == %d or tcp.DstPort == %d or "
         "tcp.SrcPort == %d or tcp.SrcPort == %d or tcp.SrcPort == %d)",
        port, proxy_port, alt_port, port, proxy_port, alt_port);
    if (r < 0 || r >= sizeof(filter))
    {
        error("failed to create filter string");
    }
    handle = WinDivertOpen(filter, WINDIVERT_LAYER_NETWORK, priority, 0);
    if (handle == INVALID_HANDLE_VALUE)
    {
        error("failed to open the WinDivert device (%d)", GetLastError());
    }
    if (CreateIoCompletionPort(handle, ioport, 0, 0) == NULL)
    {
        error("failed to associate I/O completion port (%d)", GetLastError());
    }

    // Spawn proxy thread,
    config = (PPROXY_CONFIG)malloc(sizeof(PROXY_CONFIG));
    if (config == NULL)
    {
        error("failed to allocate memory");
    }
    config->proxy_port = proxy_port;
    config->alt_port = alt_port;
    thread = CreateThread(NULL, 1, (LPTHREAD_START_ROUTINE)proxy,
        (LPVOID)config, 0, NULL);
    if (thread == NULL)
    {
        error("failed to create thread (%d)", GetLastError());
    }
    CloseHandle(thread);

    // Main loop:
    while (TRUE)
    {
        memset(&overlapped, 0, sizeof(overlapped));
        ResetEvent(event);
        overlapped.hEvent = event;
        if (!WinDivertRecvEx(handle, packet, sizeof(packet), 0, &addr,
                &packet_len, &overlapped))
        {
            if (GetLastError() != ERROR_IO_PENDING)
            {
read_failed:
                warning("failed to read packet (%d)", GetLastError());
                continue;
            }

            // Timeout = 1s
            while (WaitForSingleObject(event, 1000) == WAIT_TIMEOUT)
            {
                cleanup(ioport, &overlapped);
            }
            if (!GetOverlappedResult(handle, &overlapped, &len, FALSE))
            {
                goto read_failed;
            }
            packet_len = len;
        }
        cleanup(ioport, &overlapped);

        if (!WinDivertHelperParsePacket(packet, packet_len, &ip_header, NULL,
                NULL, NULL, &tcp_header, NULL, NULL, NULL))
        {
            warning("failed to parse packet (%d)", GetLastError());
            continue;
        }

        switch (addr.Direction)
        {
            case WINDIVERT_DIRECTION_OUTBOUND:
                if (tcp_header->DstPort == htons(port))
                {
                    // Reflect: PORT ---> PROXY
                    UINT32 dst_addr = ip_header->DstAddr;
                    tcp_header->DstPort = htons(proxy_port);
                    ip_header->DstAddr = ip_header->SrcAddr;
                    ip_header->SrcAddr = dst_addr;
                    addr.Direction = WINDIVERT_DIRECTION_INBOUND;
                }
                else if (tcp_header->SrcPort == htons(proxy_port))
                {
                    // Reflect: PROXY ---> PORT
                    UINT32 dst_addr = ip_header->DstAddr;
                    tcp_header->SrcPort = htons(port);
                    ip_header->DstAddr = ip_header->SrcAddr;
                    ip_header->SrcAddr = dst_addr;
                    addr.Direction = WINDIVERT_DIRECTION_INBOUND;
                }
                else if (tcp_header->DstPort == htons(alt_port))
                {
                    // Redirect: ALT ---> PORT
                    tcp_header->DstPort = htons(port);
                }
                break;
            
            case WINDIVERT_DIRECTION_INBOUND:
                if (tcp_header->SrcPort == htons(port))
                {
                    // Redirect: PORT ---> ALT
                    tcp_header->SrcPort = htons(alt_port);
                }
                break;
        }

        WinDivertHelperCalcChecksums(packet, packet_len, &addr, 0);
        poverlapped = (OVERLAPPED *)malloc(sizeof(OVERLAPPED));
        if (poverlapped == NULL)
        {
            error("failed to allocate memory");
        }
        memset(poverlapped, 0, sizeof(OVERLAPPED));
        if (WinDivertSendEx(handle, packet, packet_len, 0, &addr, NULL,
                poverlapped))
        {
            continue;
        }
        if (GetLastError() != ERROR_IO_PENDING)
        {
            warning("failed to send packet (%d)", GetLastError());
            continue;
        }
    }

    return 0;
}

/*
 * Proxy server thread.
 */
static DWORD proxy(LPVOID arg)
{
    PPROXY_CONFIG config = (PPROXY_CONFIG)arg;
    UINT16 proxy_port = config->proxy_port;
    UINT16 alt_port = config->alt_port;
    int on = 1;
    WSADATA wsa_data;
    WORD wsa_version = MAKEWORD(2, 2);
    struct sockaddr_in addr;
    SOCKET s;
    HANDLE thread;
    
    free(config);

    if (WSAStartup(wsa_version, &wsa_data) != 0)
    {
        error("failed to start WSA (%d)", GetLastError());
    }
    
    s = socket(AF_INET, SOCK_STREAM, 0);
    if (s == INVALID_SOCKET)
    {
        error("failed to create socket (%d)", WSAGetLastError());
    }

    if (setsockopt(s, SOL_SOCKET, SO_REUSEADDR, (const char*)&on, sizeof(int))
            == SOCKET_ERROR)
    {
        error("failed to re-use address (%d)", GetLastError());
    }

    memset(&addr, 0, sizeof(addr));
    addr.sin_family = AF_INET;
    addr.sin_port = htons(proxy_port);
    if (bind(s, (SOCKADDR *)&addr, sizeof(addr)) == SOCKET_ERROR)
    {
        error("failed to bind socket (%d)", WSAGetLastError());
    }

    if (listen(s, 16) == SOCKET_ERROR)
    {
        error("failed to listen socket (%d)", WSAGetLastError());
    }

    while (TRUE)
    {
        // Wait for a new connection.
        PPROXY_CONNECTION_CONFIG config;
        int size = sizeof(addr);
        SOCKET t = accept(s, (SOCKADDR *)&addr, &size);
        if (t == INVALID_SOCKET)
        {
            warning("failed to accept socket (%d)", WSAGetLastError());
            continue;
        }

        // Spawn proxy connection handler thread.
        config = (PPROXY_CONNECTION_CONFIG)
            malloc(sizeof(PROXY_CONNECTION_CONFIG));
        if (config == NULL)
        {
            error("failed to allocate memory");
        }
        config->s = t;
        config->alt_port = alt_port;
        config->dest = addr.sin_addr;
        thread = CreateThread(NULL, 1,
            (LPTHREAD_START_ROUTINE)proxy_connection_handler,
            (LPVOID)config, 0, NULL);
        if (thread == NULL)
        {
            warning("failed to create thread (%d)", GetLastError());
            closesocket(t);
            free(config);
            continue;
        }
        CloseHandle(thread);
    }
}

/*
 * Proxy connection handler thread.
 */
static DWORD proxy_connection_handler(LPVOID arg)
{
    PPROXY_TRANSFER_CONFIG config1, config2;
    HANDLE thread;
    PPROXY_CONNECTION_CONFIG config = (PPROXY_CONNECTION_CONFIG)arg;
    SOCKET s = config->s, t;
    UINT16 alt_port = config->alt_port;
    struct in_addr dest = config->dest;
    struct sockaddr_in addr;
    
    free(config);

    t = socket(AF_INET, SOCK_STREAM, 0);
    if (t == INVALID_SOCKET)
    {
        warning("failed to create socket (%d)", WSAGetLastError());
        closesocket(s);
        return 0;
    }

    memset(&addr, 0, sizeof(addr));
    addr.sin_family = AF_INET;
    addr.sin_port = htons(alt_port);
    addr.sin_addr = dest;
    if (connect(t, (SOCKADDR *)&addr, sizeof(addr)) == SOCKET_ERROR)
    {
        warning("failed to connect socket (%d)", WSAGetLastError());
        closesocket(s);
        closesocket(t);
        return 0;
    }

    config1 = (PPROXY_TRANSFER_CONFIG)malloc(sizeof(PROXY_TRANSFER_CONFIG));
    config2 = (PPROXY_TRANSFER_CONFIG)malloc(sizeof(PROXY_TRANSFER_CONFIG));
    if (config1 == NULL || config2 == NULL)
    {
        error("failed to allocate memory");
    }
    config1->inbound = FALSE;
    config2->inbound = TRUE;
    config2->t = config1->s = s;
    config2->s = config1->t = t;
    thread = CreateThread(NULL, 1,
        (LPTHREAD_START_ROUTINE)proxy_transfer_handler, (LPVOID)config1, 0,
        NULL);
    if (thread == NULL)
    {
        warning("failed to create thread (%d)", GetLastError());
        closesocket(s);
        closesocket(t);
        free(config1);
        free(config2);
        return 0;
    }
    proxy_transfer_handler((LPVOID)config2);
    WaitForSingleObject(thread, INFINITE);
    CloseHandle(thread);
    closesocket(s);
    closesocket(t);
    return 0;
}

/*
 * Handle the transfer of data from one socket to another.
 */
static DWORD proxy_transfer_handler(LPVOID arg)
{
    PPROXY_TRANSFER_CONFIG config = (PPROXY_TRANSFER_CONFIG)arg;
    BOOL inbound = config->inbound;
    SOCKET s = config->s, t = config->t;
    char buf[8192];
    int len, len2, i;
    HANDLE console;

    free(config);

    while (TRUE)
    {
        // Read data from s.
        len = recv(s, buf, sizeof(buf), 0);
        if (len == SOCKET_ERROR)
        {
            warning("failed to recv from socket (%d)", WSAGetLastError());
            shutdown(s, SD_BOTH);
            shutdown(t, SD_BOTH);
            return 0;
        }
        if (len == 0)
        {
            shutdown(s, SD_RECEIVE);
            shutdown(t, SD_SEND);
            return 0;
        }

        // Dump stream information to the screen.
        console = GetStdHandle(STD_OUTPUT_HANDLE);
        WaitForSingleObject(lock, INFINITE);
        printf("[%.4d] ", len);
        SetConsoleTextAttribute(console,
            (inbound? FOREGROUND_RED: FOREGROUND_GREEN));
        for (i = 0; i < len && i < MAX_LINE; i++)
        {
            putchar((isprint(buf[i])? buf[i]: '.'));
        }
        SetConsoleTextAttribute(console,
            FOREGROUND_RED | FOREGROUND_GREEN | FOREGROUND_BLUE);
        printf("%s\n", (len > MAX_LINE? "...": ""));
        ReleaseMutex(lock);

        // Send data to t.
        for (i = 0; i < len; )
        {
            len2 = send(t, buf+i, len-i, 0);
            if (len2 == SOCKET_ERROR)
            {
                warning("failed to send to socket (%d)", WSAGetLastError());
                shutdown(s, SD_BOTH);
                shutdown(t, SD_BOTH);
                return 0;
            }
            i += len2;
        }
    }

    return 0;
}
Icoding_F2014
关注
专栏目录
WinDivert+MITM实现https流量透明
被遗弃的庸才博客
11-12 3782
1.背景 自己想了解一下Https如何透明,于是找到了这个项目,但是需要自己把流量定位到8080端口。windows是支持代理流量的,常见的代理方式是修改internet setting(某不愿透露姓名的哥儿说SSR也是通过这种方式代理本地的流量),如下图所示。 接着简单分析一下这个代理服务器是如何实现。通过ProMon不难发现,iexplore是通过修改注册表的方式实现的。 那么我们怎么通过API来指定自己的代理服务器,这里通过栈回溯,发现使用的是WININET.dll下的InternetS
NoDevFee:Claymore Miner的WinDivert C#示例用法
03-20
NoDevFee 由于Claymore Miner不再正确可用,因此该项目可用于教育目的,因此对于那些希望了解WinDivert在C#中的用法的人来说很有趣。 注意:这可以与不同的矿工一起使用,您只需要稍微尝试一下代码即可。 用法 发射克莱莫尔矿工 通过命令提示符以目标钱包作为参数启动NoDevFee NoDevFee.exe 0x1234567890123456789012345678901234567890 要求 .NET Framework 4.5运行时 项目状态 该项目不再维护或不再维护。
驱动层改包神器windivert
要把所有那些负面的信息当做对自身行为的评价,而不是对自身价值的评判。
06-16 1528
windivert主要运行在内核层,但是最重要的是,windivert为开发者提供了应用层的接口,通过这些应用层接口,开发者可以实现对windows平台上数据包的任意修改。不过需要注意的是:windivert只能修改ip层以及以后的tcp层(udp层)和数据部分的内容,而不能修改mac层以及相对应的链路层。虽然wireshark可以做到修改数据包中的任意内容(包括mac层),本文简要介绍windows下驱动层kit开发包windivert的改包操作。
WinDivert-2.1.0-A
12-08
WinDivert-2.1.0-A,.NET版本的WinDivert开发源代码。驱动采用divert,包含32和64.
winDivert手册
06-27
winDivert手册 翻译版
超好用的网络抓包框架(Windivert)之三(实例一)
caicaptain
08-01 6051
如果出现编译不通过,请尝试以下方法 1.程序要用管理员权限打开! 并且添加WinDivert头文件 2.添加以下代码:#pragma comment(lib, "winDivert.lib") #pragma comment(lib, "WS2_32.lib")3.在WinDivert-1.2.0-rc-MSVC下查找对应的文件,注意匹配64位和32位 这三个文件需要添加到exe文件同一目录
divert-go:转到WinDivert的绑定
03-31
转到绑定 ...支持WinDivert 2.x 可选的CGO支持以消除WinDivert.dll的依赖性,请使用-tags="divert_cgo" 支持从rsrc数据加载dll,请使用-tags="divert_embedded" 有关WinDivert的更多详细信息,请参阅 。
fragroute:Fragroute与Windivert合作。 经典的Fragroute IDSIPS规避工具适用于WinDivert
05-13
2. **安装依赖**:确保系统已安装必要的编译工具,如GCC、Make等,并且安装WinDivert库及其开发头文件。 3. **编译项目**:在源代码目录下运行编译命令,生成可执行文件。 4. **配置和运行**:根据项目文档配置...
WinDivertProxy:通过 WinDivert 将任何程序代理到特定服务器
07-04
WinDivertProxy 通过 WinDivert 将任何程序代理到特定服务器
使用WinDivert抓包,开发windows弱网工具(C++版)
qq_17347313的博客
06-30 5262
介绍 WinDivert最简单的接入教程,以及使用的一些心得 目录介绍前言一、WinDivert是什么?二、使用步骤1.下载库2.接入项目3.使用测试:总结 前言 -最近开发的实时战斗游戏,在国外某国测试了,有很多其他国家的也想体验,通过梯子来到了我们游戏,我们发现他们在直播玩的时候,拉扯很严重,延迟较高,我们当时在这种极度弱网下表现并不是很好,因此打算找一个弱网工具模拟这种情况。经过分析,我发现主要原因在于UDP包的堆积,然后大量同时到达导致。 曾经用过一个叫NEWT(Network Emulator
fakenet-拦截一切本地网络连接
03-19
一般用于病毒分析, 本地拦截一切网络连接, 并日志输出, 支持黑/白名单, 还可自定义某特定IP/域名 返回特定的页面
pydivert:WinDivert驱动程序的Python绑定
05-12
pydivert Python绑定, 是一种Windows驱动程序,允许用户模式应用程序捕获/修改/删除发送到Windows网络堆栈或从Windows网络堆栈发送的网络数据包。 要求 Python 2.7或Python 3.4+(32或64位) Windows Vista / 7/8/10或Windows Server 2008(32或64位) 管理员权限 安装 您可以通过运行安装PyDivert $ pip install pydivert 与PyDivert 1.0.2开始, 捆绑PyDivert,不需要单独安装WinDivert版本兼容性 PyDivert WinDivert 0.0.7 1.0.x或1.1.x 1.0.x(与0.0.7兼容的API) 1.1.8(捆绑) 2.0.x 1.1.8(捆绑) 2.1.x 1.3(捆绑) 入门 PyDivert
WinDivert驅動的簡單分析(1)
被遗弃的庸才博客
11-16 1155
。。。 爲什麽你的字體變成了繁體字?因爲按錯了Ctrl+shift+F,於是先將就用幾天看好不好用。不知道會不會持續更新這個,先寫寫看,因爲我比較懶,説不定就不想寫了! 背景 WinDivert是一個開源的基於WFP的網絡驅動,主要用在嗅探、抓包、防火墻,這裏就簡單的分析一下該驅動,因爲自己也沒怎麽接觸過WFP和WDF的驅動編程,文中一定會出現理解或者解釋有誤的地方,我也控制不了! WFP簡介 WFP是windows提供的用來做網絡過濾的一種組件,當然還有tdi、ndis這類傳統的網絡過濾,一般w
超好用的网络抓包框架(Windivert)之五(范例程序的使用-1.3版本)
caicaptain
11-28 2852
1.netdump.exe: 一种基于 WinDivert 滤波器语言的简单数据包嗅探器。此程序采用在命令行中指定的筛选器, 并打印与筛选器匹配的任何数据包的信息。此示例在 “数据包嗅探” 模式中使用 WinDivert, 类似于 winpcap。但是, 与 winpcap 不同的是, WinDivert 可以看到本地 (回送) 数据包。 2.webfilter.exe: 一个简单的 url 黑名...
超好用的网络抓包框架(Windivert)之一(介绍)
热门推荐
caicaptain
07-30 1万+
一种网络抓包,修盖包的框架
Windivert:可抓包,修改包,对比WinTun,shadowsocks-windiver
sun007700的专栏
07-22 1579
Windivert
超好用的网络抓包框架(Windivert)之四(实例二)
caicaptain
08-01 3389
6.1 ICMP原包出返回,原包入 功能介绍: 嗅探主机所有发出去的icmp数据包,丢弃并且返回一个与原数据包内容一样的数据包给主机。(主机通过ICMP发出数据包a,拦截a,将a改为发入的数据包,将a再发回主机 ) 设计思路: WinDivertOpen //1.开启 WinDivertHelperCheckFilter //2.检测过滤条件是否按照规格 ...
超好用的网络抓包框架(Windivert)之二(语言)
caicaptain
08-01 5256
1.1基本api WinDivertOpen //1.开启 WinDivertHelperCheckFilter //2.检测过滤条件是否按照规格 WinDivertRecv //3.接收原包 WinDivertHelperParsePacket //4.解析原包信息 WinDivertHelperCalcChecksums //5
windows网络驱动开发
最新发布
wwpp的博客
04-16 722
Windows过滤平台(Windows Filtering Platform, WFP),是从Vista系统后新增的一套系统API和服务。开发者可以在WFP框架已划分的不同分层中进行网络数据包,以实现防火墙、入侵检测系统、网络监控等软件。(Windows内核安全与驱动开发)
python运维,需要拦截win系统上面所有进入或者出去的tcp和http请求如何实现
06-08
要拦截 Windows 系统上所有进入或出去的 TCP 和 HTTP 请求,您可以使用 Python 的第三方库 WinDivert 或 PyDivert。这些库允许您在 Windows 系统上捕获和操作网络数据包。 以下是一些可能的步骤来实现这个目标: 1. 安装 WinDivert 或 PyDivert 库。您可以使用 pip 命令来安装 PyDivert: ``` pip install pydivert ``` 而 WinDivert 库需要手动下载并安装。 2. 使用 WinDivert 或 PyDivert 库创建一个 Divert 对象。Divert 对象允许您捕获和操作网络数据包。您可以使用以下代码创建一个 Divert 对象: ``` from pydivert import WinDivert, WinDivertLayer, WinDivertFlags with WinDivert("tcp.DstPort == 80", layer=WinDivertLayer.Network, flags=WinDivertFlags.SNIFF) as w: for packet in w: # 处理网络数据包 ``` 以上代码将创建一个 Divert 对象,用于捕获所有目标端口为 80 的 TCP 流量。您可以将此条件更改为其他条件来捕获其他类型的流量。 3. 在 Divert 对象的循环中,处理捕获的网络数据包。您可以使用第三方库,如 dpkt 或 scapy,来解析和操作网络数据包。例如,以下代码使用 dpkt 库解析 TCP 流量,获取源和目标 IP 地址和端口: ``` import dpkt with WinDivert("tcp.DstPort == 80", layer=WinDivertLayer.Network, flags=WinDivertFlags.SNIFF) as w: for packet in w: ip = dpkt.ip.IP(packet.raw) tcp = ip.tcp src_ip = dpkt.inet_ntoa(ip.src) dst_ip = dpkt.inet_ntoa(ip.dst) src_port = tcp.sport dst_port = tcp.dport # 处理网络数据包 ``` 您可以使用类似的代码来处理 HTTP 流量。例如,您可以检查 TCP 流量的目标端口是否为 80 或 443,并解析 HTTP 请求和响应。 请注意,拦截和操作网络数据包可能会对系统性能产生影响,并可能需要管理员权限。因此,请小心操作,并确保您的程序不会干扰网络通信或泄露敏感信息。
评论 16
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值