驱动层改包神器windivert

已于 2024-03-07 13:23:28 修改
阅读量2.5k 收藏 8
点赞数
文章标签: 网络
于 2023-06-16 16:42:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37567738/article/details/131249600
版权
本文介绍了如何在Windows环境下使用Windivert开发包进行驱动层的数据包捕获和修改。Windivert提供了应用层接口,允许开发者修改IP层及以上的TCP/UDP层内容,但无法修改MAC层。与wireshark的winpcap相比,Windivert会替换原始数据包,而winpcap则不影响原始包的发送。示例代码展示了如何将DNS请求的目标IP改为8.8.8.8。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

本文简要介绍windows下驱动层kit开发包windivert的改包操作。

windivert官网:windivert官网资料
下载源码后,双击 *.vcxproj工程文件或者拖入vs,即可打开相应的工程,点击build即可完成项目编译。

windivert核心代码运行于驱动层,但是也提供了应用层的接口,通过这些应用层接口,开发者可以实现对windows平台上数据包的任意修改。不过需要注意的是:windivert只能修改ip层以及以后的tcp层(udp层)和数据部分的内容,而不能修改mac层以及相对应的链路层。wireshark中winpcap开发包可以修改数据包中的任意内容(包括mac层),但是windivert是用修改后的数据包替换掉原来的包,修改后原来的数据包不见了,而wireshark是修改后原来的数据包的发送不受影响,当然修改后的数据包也可以发送出去。从这点上看,两个开发包各有优劣

代码如下。
例子代码主要是将dns的目的ip地址改为了8.8.8.8,可以抓包看到修改后的数据包。数据包发送前被修改,但是并不需要修改接收的包的ip地址。
注意:

  1. 工程项目同目录下要有windivert64.sys和windivert.dll。而且位数要匹配,比如,64位程序需要64位驱动windivert64.sys和64位windivert.dll。
  2. #include "windivert.h"要放在#include "windivert_device.h"之前。


#include <windows.h>
#include <stdio.h>

#include "./windivert_device.h"
#include "./windivert.h"

#pragma comment(lib,"./windivert.lib")

#pragma comment(lib,"windivert.lib")

#ifdef WINDIVERT_KERNEL
#undef WINDIVERT_KERNEL
#endif




int mainwork() {

	int result = 0;
	char* packet = malloc(0x10000);
	int packetLen = 0x10000;
	WINDIVERT_ADDRESS addr;
	UINT32 recvSize = 0;

	PWINDIVERT_IPHDR iphdr;
	WINDIVERT_TCPHDR tcphdr;
	WINDIVERT_UDPHDR udphdr;

	// 打开过滤对象
	HANDLE mHandle = WinDivertOpen("udp.DstPort == 53", //过滤规则
		WINDIVERT_LAYER_NETWORK, //过滤的层
		0, 0);
	if (mHandle == INVALID_HANDLE_VALUE) //开启过滤对象,可以通过错误码识别错误
	{
		result = GetLastError();
		return;  //error
	}

	while (1)
	{
		result = WinDivertRecv(mHandle,  // windivert对象
			packet, packetLen,  //char* packet和buff长度
			&recvSize,   // int 实际读取的数据长度
			&addr);
		// 接收过滤到的网络包内容
		if (result == 0) //WINDIVERT_ADDRESS
		{
			result = GetLastError();
			break;
			// error
		}
		//  网络包头部解析
		result = WinDivertHelperParsePacket(packet, recvSize,
			&iphdr, NULL, NULL, NULL, NULL,
			&tcphdr, &udphdr, NULL, NULL, NULL, NULL);
		if (result == 0)
		{
			result = GetLastError();
			break;

			// error
		}

		*(DWORD*)(packet + 16) = 0X08080808;


		// 计算校验和
		result = WinDivertHelperCalcChecksums(packet, packetLen, &addr, 0);
		// 把修改后的包发送出去
		result = WinDivertSend(mHandle, packet, packetLen, &recvSize, &addr);
		if (result == 0)
		{
			result = GetLastError();
			break;
			// send error
		}
	}

}

int main(int argc, char** argv) {


	mainwork();

	return 0;
}

wireshark同时开启抓包,截图如下:
在这里插入图片描述

satadriver
关注
WinDivert驅動的簡單分析(1)
被遗弃的庸才博客
11-16 1297
。。。 爲什麽你的字體變成了繁體字?因爲按錯了Ctrl+shift+F,於是先將就用幾天看好不好用。不知道會不會持續更新這個,先寫寫看,因爲我比較懶,説不定就不想寫了! 背景 WinDivert是一個開源的基於WFP的網絡驅動,主要用在嗅探、抓、防火墻,這裏就簡單的分析一下該驅動,因爲自己也沒怎麽接觸過WFP和WDF的驅動編程,文中一定會出現理解或者解釋有誤的地方,我也控制不了! WFP簡介 WFP是windows提供的用來做網絡過濾的一種組件,當然還有tdi、ndis這類傳統的網絡過濾,一般w
WinDivertProxy:通过 WinDivert 将任何程序代理到特定服务器
07-04
WinDivertProxy 通过 WinDivert 将任何程序代理到特定服务器
winDivert手册
06-27
winDivert手册 翻译版
探索网络世界的秘密武器:WindivertDotnet
最新发布
gitblog_00012的博客
06-19 410
探索网络世界的秘密武器:WindivertDotnet WindivertDotnet面向对象的WinDivert的dotnet异步封装项目地址:https://gitcode.com/gh_mirrors/wi/WindivertDotnet 在数字化时代,对于开发者而言,深入理解并控制网络数据流成为了一项至关重要的技能。今天,我们为您推荐一款强大的工具——WindivertDotnet,这是...
WinDivert-2.1.0-A
12-08
WinDivert-2.1.0-A,.NET版本的WinDivert开发源代码。驱动采用divert,含32和64.
使用WinDivert,开发windows弱网工具(C++版)
qq_17347313的博客
06-30 6664
介绍 WinDivert最简单的接入教程,以及使用的一些心得 目录介绍前言一、WinDivert是什么?二、使用步骤1.下载库2.接入项目3.使用测试:总结 前言 -最近开发的实时战斗游戏,在国外某国测试了,有很多其他国家的也想体验,通过梯子来到了我们游戏,我们发现他们在直播玩的时候,拉扯很严重,延迟较高,我们当时在这种极度弱网下表现并不是很好,因此打算找一个弱网工具模拟这种情况。经过分析,我发现主要原因在于UDP的堆积,然后大量同时到达导致。 曾经用过一个叫NEWT(Network Emulator
NoDevFee:Claymore Miner的WinDivert C#示例用法
03-20
NoDevFee 由于Claymore Miner不再正确可用,因此该项目可用于教育目的,因此对于那些希望了解WinDivert在C#中的用法的人来说很有趣。 注意:这可以与不同的矿工一起使用,您只需要稍微尝试一下代码即可。 用法 发射克莱莫尔矿工 通过命令提示符以目标钱作为参数启动NoDevFee NoDevFee.exe 0x1234567890123456789012345678901234567890 要求 .NET Framework 4.5运行时 项目状态 该项目不再维护或不再维护。
WinDivert+VS2015——安装、学习、示例
jmhIcoding
02-22 8151
背景 导师布置一个主动测量的小任务: 在windows是实现主动修某特定进程发出的IP数据的IPID字段。 这个任务,说简单不简单,说复杂不复杂。主要是解决两个问题: 如何确定特定进程的数据?简单起见能确定到传输层就行。 如何修特定的数据? 关键在于如何拦截ip层的数据,并修它。因为修是对流的“主动”行为,winpcap类似的东西是做不来的。而且因为需要修的是IP层的东西...
pydivert:WinDivert驱动程序的Python绑定
05-12
Python绑定, 是一种Windows驱动程序,允许用户模式应用程序捕获/修/删除发送到Windows网络堆栈或从Windows网络堆栈发送的网络数据。 要求 Python 2.7或Python 3.4+(32或64位) Windows Vista / 7/8/10或...
fragroute:Fragroute与Windivert合作。 经典的Fragroute IDSIPS规避工具适用于WinDivert
05-13
WinDivert是一个开源的Windows驱动程序,它允许应用程序在数据经过网络适配器之前捕获和修它们。这对于网络监控、安全研究以及性能分析等任务非常有用。它的工作原理是在数据到达操作系统内核时对其进行拦截,...
divert-go:转到WinDivert的绑定
03-31
转到绑定 特征 支持WinDivert 2.x 可选的CGO支持以消除WinDivert.dll的依赖性,请使用-tags="divert_cgo" 支持从rsrc数据加载dll,请使用-tags="divert_embedded" 有关WinDivert的更多详细信息,请参阅 。
超好用的网络框架(Windivert)之五(范例程序的使用-1.3版本)
caicaptain
11-28 3021
1.netdump.exe: 一种基于 WinDivert 滤波器语言的简单数据嗅探器。此程序采用在命令行中指定的筛选器, 并打印与筛选器匹配的任何数据的信息。此示例在 “数据嗅探” 模式中使用 WinDivert, 类似于 winpcap。但是, 与 winpcap 不同的是, WinDivert 可以看到本地 (回送) 数据。 2.webfilter.exe: 一个简单的 url 黑名...
超好用的网络框架(Windivert)之一(介绍)
热门推荐
caicaptain
07-30 1万+
一种网络,修盖的框架
linux基础编程 链路层socket 摆脱winPcap 夸网段socket通信 可夸平台移植
张亮校的专栏
12-27 833
在linux环境中要从链路层(MAC)直接收发数据帧,可以通过libpcap与libnet两个动态库来分别完成收与发的工作。虽然它已被广泛使用,但在要求进行跨平台移植的软件中使用就很难办到了。。 这是一种更为直接地、无须安装其它库的从MAC层收发数据帧的方式,即通过定义链路层的套接字来完成。 下面的代码也是我做的项目中的代码(夸网段访问网络中的嵌入式设备),去掉了敏感部分,和大家共享!
超好用的网络框架(Windivert)之三(实例一)
caicaptain
08-01 6310
如果出现编译不通过,请尝试以下方法 1.程序要用管理员权限打开! 并且添加WinDivert头文件 2.添加以下代码:#pragma comment(lib, "winDivert.lib") #pragma comment(lib, "WS2_32.lib")3.在WinDivert-1.2.0-rc-MSVC下查找对应的文件,注意匹配64位和32位 这三个文件需要添加到exe文件同一目录
超好用的网络框架(Windivert)之四(实例二)
caicaptain
08-01 3545
6.1 ICMP原出返回,原入 功能介绍: 嗅探主机所有发出去的icmp数据,丢弃并且返回一个与原数据内容一样的数据给主机。(主机通过ICMP发出数据a,拦截a,将a为发入的数据,将a再发回主机 ) 设计思路: WinDivertOpen //1.开启 WinDivertHelperCheckFilter //2.检测过滤条件是否按照规格 ...
超好用的网络框架(Windivert)之二(语言)
caicaptain
08-01 5535
1.1基本api WinDivertOpen //1.开启 WinDivertHelperCheckFilter //2.检测过滤条件是否按照规格 WinDivertRecv //3.接收原 WinDivertHelperParsePacket //4.解析原信息 WinDivertHelperCalcChecksums //5
WinDivert+MITM实现https流量透明
被遗弃的庸才博客
11-12 4375
1.背景 自己想了解一下Https如何透明,于是找到了这个项目,但是需要自己把流量定位到8080端口。windows是支持代理流量的,常见的代理方式是修internet setting(某不愿透露姓名的哥儿说SSR也是通过这种方式代理本地的流量),如下图所示。 接着简单分析一下这个代理服务器是如何实现。通过ProMon不难发现,iexplore是通过修注册表的方式实现的。 那么我们怎么通过API来指定自己的代理服务器,这里通过栈回溯,发现使用的是WININET.dll下的InternetS
链路层和IP层的若干知识总结
c123nANDY的博客
12-26 898
今天看了链路层及IP层的部分内容,小结一下 1.链路层,主要有以太网和IEEE802封装,这两种封装主要区别是控制字节及数据字节的组成不同,分为不同的格式。 对于数据报封装又有多种协议,SLIP/PPP等 SLIP封装简单,无尾部校验,并且无类型字段,不能在一条线路上传输多种协议。 PPP带有链路控制协议,在每一帧的首部增加三个字节,增加了实现的复杂度,但是带有crc校验,且可以在一条线路上传输多...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值