WinDivert驅動的簡單分析(1)

最新推荐文章于 2023-09-27 13:37:12 发布
最新推荐文章于 2023-09-27 13:37:12 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: 爱好 文章标签: 驱动开发 https 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37353105/article/details/121359443
版权

。。。

爲什麽你的字體變成了繁體字?因爲按錯了Ctrl+shift+F,於是先將就用幾天看好不好用。不知道會不會持續更新這個,先寫寫看,因爲我比較懶,説不定就不想寫了!

背景

WinDivert是一個開源的基於WFP的網絡驅動,主要用在嗅探、抓包、防火墻,這裏就簡單的分析一下該驅動,因爲自己也沒怎麽接觸過WFP和WDF的驅動編程,文中一定會出現理解或者解釋有誤的地方,我也控制不了!

WFP簡介

WFP是windows提供的用來做網絡過濾的一種組件,當然還有tdi、ndis這類傳統的網絡過濾,一般windows提供的接口都不怎麽友善,感覺學習起來亂七八糟的。要不是爲了研究WinDivert,順便在學習和復習一下網絡的基本知識,真不想看WFP。

看到windows給的WFP的'簡單'例子,給人的感覺就是這麽這麽多的參數,注冊的都是些什麽東西?其實最需要注意的是callout(呼出)、filter(過濾器)、layer(分層)這幾個參數怎麽填差不多就可以代碼抄起來了。

這裏提一下當時不怎麽理解的幾個點

1、layer那麽多層,我怎麽知道這些層的各個classify的回調的數據是什麽?

現在也不知道,因爲分的曾確實很多,但是只需要在意關心的那幾層就行了,其它的用到的時候在說。管理筛选层标识符 - Windows drivers | Microsoft Docs

2、爲什麽要子層、callout、filter都有一個uid?

不用管,反正就是用來標記它的,方便找到它而已

3、FwpmSubLayerAdd0需要注意的是weight,也就是權重,越大優先級越高,其他的都是自己指定,也就是説可以亂填。

static NTSTATUS windivert_install_sublayer(layer_t layer)
{
    FWPM_SUBLAYER0 sublayer;
    NTSTATUS status;

    RtlZeroMemory(&sublayer, sizeof(sublayer));
    sublayer.subLayerKey             = *(layer->sublayer_guid);
    sublayer.displayData.name        = layer->sublayer_name;
    sublayer.displayData.description = layer->sublayer_desc;
    sublayer.weight                  = layer->sublayer_weight;

    status = FwpmSubLayerAdd0(engine_handle, &sublayer, NULL);
    if (!NT_SUCCESS(status))
    {
        DEBUG_ERROR("failed to add WFP sub-layer", status);
    }
    
    return status;
}

4、FwpsCalloutRegister0主要是注冊一個callout,其中最主要的是classifyFn,就是在這個回調裏面寫bug,calloutKey自己填,notifyFn空實現,flowDeleteFn一般用來回收資源(沒有需要回收的就直接null,連空函數都懶得定義)

scallout.calloutKey              = callout_guid;//用来标记这个callout的uid
scallout.classifyFn              = layer->classify;//对应的过滤函数
scallout.notifyFn                = windivert_notify;//空实现
scallout.flowDeleteFn            = layer->flow_delete;//这压根没实现
status = FwpsCalloutRegister0(WdfDeviceWdmGetDeviceObject(device),

5、FwpmCalloutAdd0這個就是把上面注冊的callout和對應的wfp給你提供的各種層關聯起來,其中applicableLayer就需要用WFP提供的uid,而不是自己瞎制定了

mcallout.calloutKey              = callout_guid;//用来标记这个callout的uid
mcallout.displayData.name        = layer->callout_name;//随便写点
mcallout.displayData.description = layer->callout_desc;//随便写点
mcallout.applicableLayer         = *(layer->layer_guid);//对应的WFP过滤的UID
status = FwpmCalloutAdd0(engine, &mcallout, NULL, NULL);

6、FwpmFilterAdd0,就是將callout、子層關聯起來的,calloutKey寫的是你自己的callout的uid,subLayerKey寫的是你指定的子層的uid,layerKey寫的是你需要在哪一層過濾,是WFP提供給你的,rawContext是在classifyFn的倒數第三個參數。filter還有一個filterCondition字段用來指定需要過濾的一些情況,比如下面。但WinDivert不是這樣實現的,之後再説。

#include <windows.h>
#include <fwpmu.h>
#include <stdio.h>

#pragma comment(lib, "Fwpuclnt.lib")

// Some application to use for filter testing.
#define FILE0_PATH L"C:\\Program Files\\AppDirectory\\SomeApplication.exe"

void main()
{
    FWP_BYTE_BLOB *fwpApplicationByteBlob;
    FWPM_FILTER0 fwpFilter;
    FWPM_FILTER_CONDITION0 fwpConditions[4];
    int conCount = 0;
    DWORD result = ERROR_SUCCESS; 

    fwpApplicationByteBlob = (FWP_BYTE_BLOB*) malloc(sizeof(FWP_BYTE_BLOB));
    
    printf("Retrieving application identifier for filter testing.\n"); 
    result = FwpmGetAppIdFromFileName0(FILE0_PATH, &fwpApplicationByteBlob);
    if (result != ERROR_SUCCESS)
    {
        printf("FwpmGetAppIdFromFileName failed (%d).\n", result);
        return;
    }

      // Application identifier filter condition.
      fwpConditions[conCount].fieldKey = FWPM_CONDITION_ALE_APP_ID;
      fwpConditions[conCount].matchType = FWP_MATCH_EQUAL;
      fwpConditions[conCount].conditionValue.type = FWP_BYTE_BLOB_TYPE;
      fwpConditions[conCount].conditionValue.byteBlob = fwpApplicationByteBlob;
            
      ++conCount;

      // TCP protocol filter condition
      fwpConditions[conCount].fieldKey = FWPM_CONDITION_IP_PROTOCOL;
      fwpConditions[conCount].matchType = FWP_MATCH_EQUAL;
      fwpConditions[conCount].conditionValue.type = FWP_UINT8;
      fwpConditions[conCount].conditionValue.uint8 = IPPROTO_TCP;

      ++conCount;

      // Add conditions and condition count to a filter.
      memset(&fwpFilter, 0, sizeof(FWPM_FILTER0));

      fwpFilter.numFilterConditions = conCount;
      if (conCount > 0)
        fwpFilter.filterCondition = fwpConditions;

      // Finish initializing filter...

    return;
}
filter.filterKey                 = filter_guid;//过滤器的uid
filter.layerKey                  = *(layer->layer_guid);//对应的WFP过滤的UID
filter.displayData.name          = layer->filter_name;//随便写点
filter.displayData.description   = layer->filter_desc;//随便写点
filter.action.type               = FWP_ACTION_CALLOUT_UNKNOWN;
filter.action.calloutKey         = callout_guid;//用来标记这个callout的uid
filter.subLayerKey               = *(layer->sublayer_guid);//子层的uid,子层主要是用来控制呼出的权重
filter.weight.type               = FWP_UINT64;
filter.weight.uint64             = &weight;
filter.rawContext                = (UINT64)context;//把这个context也传递到呼出回调里面
status = FwpmFilterAdd0(engine, &filter, NULL, NULL);

static void windivert_outbound_network_v4_classify(
    IN const FWPS_INCOMING_VALUES0 *fixed_vals,
    IN const FWPS_INCOMING_METADATA_VALUES0 *meta_vals, IN OUT void *data,
    const FWPS_FILTER0 *filter, IN UINT64 flow_context,
    OUT FWPS_CLASSIFY_OUT0 *result)
{
    WINDIVERT_DATA_NETWORK network_data;
    BOOL loopback;
    context_t context = (context_t)(ULONG_PTR)filter->context;

7、classifyFn有那麽多的參數,怎麽搞?目前只關心第一個和最後一個,以及data,第一個中可以取出該層特有的數據,比如下面的FWPS_FIELD_OUTBOUND_IPPACKET_V4_INTERFACE_INDEX,其他層有其他的東西,宏不一樣;result這裏會首先判斷數據傳遞到我這來,我還能不能操作,用FWPS_RIGHT_ACTION_WRITE判斷一下,函數返回時需要指定result,FWP_ACTION_BLOCK是禁止,也就是到我這你發不出去了,FWP_ACTION_CONTINUE是給下一個過濾器看看,FWP_ACTION_PERMIT在我理解就是不給下一個過濾器了,在我這就把你放行了;data就是該層捕獲到的數據,之後在分析。

static void windivert_outbound_network_v4_classify(
    IN const FWPS_INCOMING_VALUES0 *fixed_vals,
    IN const FWPS_INCOMING_METADATA_VALUES0 *meta_vals, IN OUT void *data,
    const FWPS_FILTER0 *filter, IN UINT64 flow_context,
    OUT FWPS_CLASSIFY_OUT0 *result)
{
    WINDIVERT_DATA_NETWORK network_data;
    BOOL loopback;
    context_t context = (context_t)(ULONG_PTR)filter->context;

    UNREFERENCED_PARAMETER(meta_vals);
    UNREFERENCED_PARAMETER(data);
    UNREFERENCED_PARAMETER(flow_context);

    if ((result->rights & FWPS_RIGHT_ACTION_WRITE) == 0 || data == NULL)//FWPS_RIGHT_ACTION_WRITE该标志指示了本callout是否有权限修改过滤action
    {
        return;
    }

    network_data.IfIdx = windivert_get_val32(fixed_vals,
        FWPS_FIELD_OUTBOUND_IPPACKET_V4_INTERFACE_INDEX);//网络接口的索引,如网络堆栈所列举的
    network_data.SubIfIdx = windivert_get_val32(fixed_vals,
        FWPS_FIELD_OUTBOUND_IPPACKET_V4_SUB_INTERFACE_INDEX);//逻辑网络界面的索引,由网络堆栈列举
    loopback = ((windivert_get_val32(fixed_vals,
        FWPS_FIELD_OUTBOUND_IPPACKET_V4_FLAGS) &
            FWP_CONDITION_FLAG_IS_LOOPBACK) != 0);//判断数据包是否是回环的

    windivert_network_classify(context, &network_data, /*ipv4=*/TRUE,
        /*outbound=*/TRUE, loopback, /*reassembled=*/FALSE, /*advance=*/0,
        data, result);
}

8、大約知道這麽多就能進行端口和ip的禁用了,直接通過FWP_ACTION_BLOCK,比如下圖的代碼。

 之後在繼續分析。。。。。

被遗弃的庸才
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
超好用的网络抓包框架(Windivert)之三(实例一)
caicaptain
08-01 5995
如果出现编译不通过,请尝试以下方法 1.程序要用管理员权限打开! 并且添加WinDivert头文件 2.添加以下代码:#pragma comment(lib, "winDivert.lib") #pragma comment(lib, "WS2_32.lib")3.在WinDivert-1.2.0-rc-MSVC下查找对应的文件,注意匹配64位和32位 这三个文件需要添加到exe文件同一目录
NoDevFee:Claymore Miner的WinDivert C#示例用法
03-20
NoDevFee 由于Claymore Miner不再正确可用,因此该项目可用于教育目的,因此对于那些希望了解WinDivert在C#中的用法的人来说很有趣。 注意:这可以与不同的矿工一起使用,您只需要稍微尝试一下代码即可。 用法 发射克莱莫尔矿工 通过命令提示符以目标钱包作为参数启动NoDevFee NoDevFee.exe 0x1234567890123456789012345678901234567890 要求 .NET Framework 4.5运行时 项目状态 该项目不再维护或不再维护。
驱动层改包神器windivert
要把所有那些负面的信息当做对自身行为的评价,而不是对自身价值的评判。
06-16 1314
windivert主要运行在内核层,但是最重要的是,windivert开发者提供了应用层的接口,通过这些应用层接口,开发者可以实现对windows平台上数据包的任意修改。不过需要注意的是:windivert只能修改ip层以及以后的tcp层(udp层)和数据部分的内容,而不能修改mac层以及相对应的链路层。虽然wireshark可以做到修改数据包中的任意内容(包括mac层),本文简要介绍windows下驱动层kit开发windivert的改包操作。
超好用的网络抓包框架(Windivert)之一(介绍)
caicaptain
07-30 1万+
一种网络抓包,修盖包的框架
使用WinDivert抓包,开发windows弱网工具(C++版)
qq_17347313的博客
06-30 4871
介绍 WinDivert最简单的接入教程,以及使用的一些心得 目录介绍前言一、WinDivert是什么?二、使用步骤1.下载库2.接入项目3.使用测试:总结 前言 -最近开发的实时战斗游戏,在国外某国测试了,有很多其他国家的也想体验,通过梯子来到了我们游戏,我们发现他们在直播玩的时候,拉扯很严重,延迟较高,我们当时在这种极度弱网下表现并不是很好,因此打算找一个弱网工具模拟这种情况。经过分析,我发现主要原因在于UDP包的堆积,然后大量同时到达导致。 曾经用过一个叫NEWT(Network Emulator
Windivert:可抓包,修改包,对比WinTun,shadowsocks-windiver
sun007700的专栏
07-22 1499
Windivert
pydivert:WinDivert驱动程序的Python绑定
05-12
Python绑定, 是一种Windows驱动程序,允许用户模式应用程序捕获/修改/删除发送到Windows网络堆栈或从Windows网络堆栈发送的网络数据包。 要求 Python 2.7或Python 3.4+(32或64位) Windows Vista / 7/8/10或...
winDivert手册
06-27
winDivert手册 翻译版
divert-go:转到WinDivert的绑定
03-31
转到绑定 ...支持WinDivert 2.x 可选的CGO支持以消除WinDivert.dll的依赖性,请使用-tags="divert_cgo" 支持从rsrc数据加载dll,请使用-tags="divert_embedded" 有关WinDivert的更多详细信息,请参阅 。
WinDivert-2.1.0-A
12-08
WinDivert-2.1.0-A,.NET版本的WinDivert开发源代码。驱动采用divert,包含32和64.
winDivert手册 网络技术.zip
最新发布
05-16
winDivert特别适用于网络监控、网络安全分析以及网络编程的各种场景。 在C#中使用winDivert,你需要首先安装相应的NuGet包,通常是`WinDivert.Net`。这个库提供了一个易于使用的API,让你能够方便地捕获、修改和...
WinDivert+VS2015——安装、学习、示例
jmhIcoding
02-22 7618
背景 导师布置一个主动测量的小任务: 在windows是实现主动修改某特定进程发出的IP数据包的IPID字段。 这个任务,说简单不简单,说复杂不复杂。主要是解决两个问题: 如何确定特定进程的数据包?简单起见能确定到传输层就行。 如何修改特定的数据包? 关键在于如何拦截ip层的数据包,并修改它。因为修改是对流的“主动”行为,winpcap类似的东西是做不来的。而且因为需要修改的是IP层的东西...
WinDivert+MITM实现https流量透明
被遗弃的庸才博客
11-12 3671
1.背景 自己想了解一下Https如何透明,于是找到了这个项目,但是需要自己把流量定位到8080端口。windows是支持代理流量的,常见的代理方式是修改internet setting(某不愿透露姓名的哥儿说SSR也是通过这种方式代理本地的流量),如下图所示。 接着简单分析一下这个代理服务器是如何实现。通过ProMon不难发现,iexplore是通过修改注册表的方式实现的。 那么我们怎么通过API来指定自己的代理服务器,这里通过栈回溯,发现使用的是WININET.dll下的InternetS
超好用的网络抓包框架(Windivert)之二(语言)
caicaptain
08-01 5206
1.1基本api WinDivertOpen //1.开启 WinDivertHelperCheckFilter //2.检测过滤条件是否按照规格 WinDivertRecv //3.接收原包 WinDivertHelperParsePacket //4.解析原包信息 WinDivertHelperCalcChecksums //5
超好用的网络抓包框架(Windivert)之五(范例程序的使用-1.3版本)
caicaptain
11-28 2795
1.netdump.exe: 一种基于 WinDivert 滤波器语言的简单数据包嗅探器。此程序采用在命令行中指定的筛选器, 并打印与筛选器匹配的任何数据包的信息。此示例在 “数据包嗅探” 模式中使用 WinDivert, 类似于 winpcap。但是, 与 winpcap 不同的是, WinDivert 可以看到本地 (回送) 数据包。 2.webfilter.exe: 一个简单的 url 黑名...
wfp框架解析
要把所有那些负面的信息当做对自身行为的评价,而不是对自身价值的评判。
08-31 692
与此函数相对的是FwpmEngineClose,关闭引擎。此函数参数为FWPM_CALLOUT0,而FwpsCalloutRegister0的参数为FWPS_CALLOUT0。我一直对wfp框架含混不清,搞驱动开发有一段时间了,拿着老板的钱,到对自己手头工作的一些基础概念都弄不明白,实在是说不过去,寝食难安,特此加深一下记忆和理解。FwpsCalloutRegister0:注册回调函数。此函数参数比较复杂,主要是用来注册实现网络过滤功能操作的回调函数。这6个API参数比较复杂,详细的参数可自行MSDN。
FwpmFilterAdd0添加规则永久性对象FWPM_FILTER_FLAG_PERSISTENT 报错0x80320016解决方法
如鹿渴慕泉水的专栏
09-27 198
FwpmFilterAdd0添加规则永久性对象FWPM_FILTER_FLAG_PERSISTENT 报错0x80320016解决方法
VMP3.5 脱壳--查找OEP
热门推荐
被遗弃的庸才博客
01-19 1万+
背景 无 VMP的介绍 相信看到这篇文章的人都听过或了解过vmp,基本遇到vmp加壳的程序基本就是右键回收站,但是如果只是简单的加了一层vmp壳的话,还是可以分析的。 vmp加壳方式 下面是程序代码 int main() { printf("222222222\n"); system("pause"); return 0; } 然后把随机基地址关一下,方便之后查找main函数 这里说明一下,目前大部分人加壳都会虚拟化代码段,这样的话基本上就需要右键回收站了,主要是核心代码被vm
python运维,需要拦截win系统上面所有进入或者出去的tcp和http请求如何实现
06-08
1. 安装 WinDivert 或 PyDivert 库。您可以使用 pip 命令来安装 PyDivert: ``` pip install pydivert ``` 而 WinDivert 库需要手动下载并安装。 2. 使用 WinDivert 或 PyDivert 库创建一个 Divert 对象。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值