这一节主要学习网络请求的过滤,铁锤大佬讲了些关于IRP的知识。
笔记
先祭出一张灵魂作画,这是用来描述IRP的流转形式的。
通过这幅图着重解释了一下IoSkipCurrentIrpStackLocation(pirp);的过程,就是在流转到当前的IRP请求之后,不做任何处理,将当前的IRP堆栈传到下一层,使之和上一次内容一样,就相当于“跳过”了。
VOID
IoSkipCurrentIrpStackLocation (
_Inout_ PIRP Irp
){
NT_ASSERT(Irp->CurrentLocation <= Irp->StackCount);
Irp->CurrentLocation++;
Irp->Tail.Overlay.CurrentStackLocation++;
}
各种IRP也是分层过滤的,一层一层的传递,然后不同的驱动设备都可以修改。
在拦截IRP这一步就很简单,下边是效果,网络请求也可以拦截到。
接下来是对请求IRP中的内容进行解析,一般是IRP堆栈里边有很多结构,我们需要通过文档或是经验贴,定义或者强转成我们需要的内容。
具体的分发例程:
NTSTATUS MyDispath(
PDEVICE_OBJECT pdevice,
PIRP pirp
) {
PIO_STACK_LOCATION pripstack = NULL;
// 我们只关心TCP请求,且流入本驱动的
if (pdevice == pfilterdevobj)
{
pripstack = IoGetCurrentIrpStackLocation(pirp);
if (pripstack ==NULL)
{
return STATUS_UNSUCCESSFUL;
}
if (pripstack->MinorFunction == TDI_CONNECT)
{
PTDI_REQUEST_KERNEL_CONNECT ptdiconnect =
(PTDI_REQUEST_KERNEL_CONNECT)(&pripstack->Parameters);
PTA_ADDRESS ta_addr =
((PTRANSPORT_ADDRESS)(ptdiconnect->RequestConnectionInformation->RemoteAddress))->Address;
PTDI_ADDRESS_IP tdi_addr =
(PTDI_ADDRESS_IP)(ta_addr->Address);
DWORD address = tdi_addr->in_addr;
USHORT port = tdi_addr->sin_port;
NETWORK_ADDRESS data = { 0 };
data.address[0] = ((PCHAR)&address)[0];
data.address[1] = ((PCHAR)&address)[1];
data.address[2] = ((PCHAR)&address)[2];
data.address[3] = ((PCHAR)&address)[3];
data.post[0] = ((PCHAR)&port)[0];
data.post[1] = ((PCHAR)&port)[1];
port = HTONS(port);
DbgPrint("connect %d.%d.%d.%d:%d\n", data.address[0],
data.address[1],
data.address[2],
data.address[3], port);
DbgPrint("connect io address <%x>\n", address);
}
}
IoSkipCurrentIrpStackLocation(pirp);
return IoCallDriver(pdodevobj, pirp);
}
里边在端口的转换时,使用了HTONS宏
HTONS本身所做的就是将USHORT从主机序转化为网络序
参考:用C语言进一步优化Windows Shellcode
然后里边对结构内容的查找,涉及很多类型和指针的调用,其实也米有难得地方,对应好结构的说明进行指定或强转。(很复杂就是😗)
小结
锤哥在视频里边花了很多时间来调试找错误,来接解决端口显示异常的问题,感谢大佬,很受用!
”本着调试的精神来解决问题“ Getit✅
3405
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
