NDIS HOOK及MINIPORT HOOK的实现

最新推荐文章于 2024-05-22 07:31:34 发布
最新推荐文章于 2024-05-22 07:31:34 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: 内核艺术 文章标签: hook system microsoft class 网络 windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/robinh00d/article/details/6740870
版权

[0x00]

   网上有很多讨论关于NDIS HOOK的文章,但大多只讲了WIN7之前的HOOK NDIS_OPEN_BLOCK下的例程,至于WIN7下怎么
HOOK以及如何做MINIPORT-HOOK,网络上则鲜有提及.根据前阵子的相关分析,我把NDIS HOOK总结一下,网上有一些讨论
NDIS HOOK的文章,请读者先阅读那些文章对NDIS HOOK有个基本了解.

[0x01]

    首先是获取物理网卡的设备GUID,如果只是做普通的NDIS HOOK则可以忽略此步.为什么要获取物理网卡的GUID呢,
因为系统内可能有多个MINIPORT,每个MINIPORT对应一个网卡设备,无论这个网卡是虚拟的还是物理的.
   
    所以我们要做MINIPORT HOOK的话就必须找到物理网卡对应的miniport.下面是两种获得物理网卡GUID的方法。

   方法1:通过注册表项\\REGISTRY\\MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersi

最低0.47元/天 解锁文章
robinh00d
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Netfilter框架通过hook捕获数据包
李耀辉的博客
10-14 2761
数据包截获:Netfilter Netfilter 是由内核 2.4.x 和 2.6.x 提供的数据包截获机制,它替代了内核 2.2.x 中 使用的 ipchains、防火墙钩子和其他方法。Netfilter 也可以作为 LKM 获得。 要使用 netfilter,在内核编译时设置 Packet Filtering 选项。 可以对采用防火墙钩子机制的同类应用程序使用 netfilter 机制
基于Ndis Hook钩子技术开发的网络防火墙源代码
11-20
基于Ndis Hook技术开发的网络防火墙源代码
探索NDIS HOOK新的实现方法(2)
04-02 738
探索NDIS HOOK新的实现方法(2)             ---INLINE HOOK实现NDIS HOOK 前面讲述了如何通过获取NDIS_PROTOCOL_BLOCK来实现NDIS HOOK,这里讲述第二种方法,那就是inline hook方法。说起inline hook,也不是什么新鲜玩意,无非是在一个函数的首部嵌入一个jmp机器指令,在该函数执行有效代码前就跳到我们的代理函数,在我
NDIS小端口驱动开发(二)
最新发布
苏洛的博客
05-22 750
NDIS小端口驱动
NDIS HOOK 防火墙实现关键技术
FISH 的专栏
10-16 2308
                                                                   NDIS HOOK 防火墙实现关键技术谈到网络安全不能不提到防火墙。目前国内防火墙多数是采用 TDI 技术, NDIS 可以算是较先进的技术了(如果您认为不是的话, 只能说明我落伍了, 呵呵) 网上缺少 NDIS 防火墙实现的技术细节说明.  经过2天的查找资料
miniport hook ethFilterDprIndicateReceivePacket 接收拦截时包处理问题
weixin_30649641的博客
06-08 82
XP环境: 1。研究了在my_ethFilterDprIndicateReceivePacket中丢包情况 //要想drop packet_arrays这些packet,使用miniportblock对应的ReturnPacketHandler来return //不能用ndis!ndisReturnpacket这函数。因为里面一些变量在我们现在拦截的这里还没设置好 //调用ndis!...
发一个支持任意地点hook的类(包含驱动hook和应用层hook)
u013594602的专栏
02-07 1762
这是以前练习写驱动类的一个产物,  有点早了,很简单. 写这个类也是方便自己绕过某些驱动的保护钩子.  当然这个也只支持x86, 没有做x64的拓展. 因为只是方便自己不需要每次都copy一大堆代码; 如果需要x64的拓展的,可以参考detours 或者是 EasyHook.   比较好的是EasyHook提供了驱动的hook; 貌似关于驱动写类论坛上比较少, 对于驱动,大家更倾向于直接
网络数据包拦截通用技术
04-12 2617
网络数据包拦截通用技术 作者:甘嘉平 (gjp)看到很多仁兄提供的数据包的拦截技术,其中最多的是编写IM DRIVER在NDIS中间层 对MINIPORT(网卡驱动程序)和协议驱动程序之间的数据包进行拦截。这是微软提供的一种技术 但编写该过滤程序拦截程序非常的复杂,安装也很麻烦。 本人简单的介绍一种更有效的基于NDIS包拦截技术。 大家都知道,NDIS协议驱动程序是通过填写一张NDIS_PROTO
详解Windows 2000/XP Class/Port/Miniport驱动模型
求索
11-15 1660
对于软件复用,Microsoft Windows在用户层提供了COM(Component Object Model),其实现了二进制层级的兼容,使Windows开发进入了组件时代。COM的概念之一进程内组件,在用户态使用动态联接库作为载体。所以不管在COM之前或是之后,DLL都是Windows实现软件复用的一个最主要的途径。只是单纯的DLL并未实现COM一样的二进制兼容的目的。但对于驱动开发者而
NDIS Hook的框架代码
热门推荐
峥嵘岁月
03-23 2万+
////Protocol Wrapper Version 1.05//Author: gjp//email: gjpland@netease.com//#include "NdisHook.h"#include "HookRule.h"#pragma pack(push)#pragma pack(1)typedef struct _HOOK_CONTEXT_STRUCT{ //runtime
NDIS HOOK实现方法
weixin_30417487的博客
04-13 141
转载探索NDIS HOOK新的实现方法(1) NDIS HOOK是专业级防火墙使用的一种拦截技术,NDIS HOOK的重点是如何获得特定协议对应NDIS_PROTOCOL_BLOCK指针,获得了该指针,接下来就可以替换该协议所注册的收发函数,而达到拦截网络数据的目的。 获 得NDIS_PROTOCOL_BLOCK指针的方法一般是用NdisRegisterProtocol注...
Windows内核原理与实现之 NDIS(网络驱动程序接口规范)
首席技术总监的专栏
12-15 3697
文章摘录自《Windows内核原理与实现》一书。 在Windows网络栈中,网络协议与网络适配器是分离的,协议驱动程序并不针对特定的网络适配器而设计,然而,当协议驱动程序正真运行时,它必须通过一个网络适配器才能发送和接收数据。协议驱动程序通过统一的接口与网络适配器驱动程序进行通信,此接口即为 Microsoft 和 3COM 于 1989 年联手开发的NDIS(Network Driver I...
探索NDIS HOOK新的实现方法
jia_xiaoxin的专栏
08-02 720
NDIS HOOK是专业级防火墙使用的一种拦截技术,NDIS HOOK的重点是如何获得特定协议对应NDIS_PROTOCOL_BLOCK指针,获得了该指针,接下来就可以替换该协议所注册的收发函数,而达到拦截网络数据的目的。获得NDIS_PROTOCOL_BLOCK指针的方法一般是用NdisRegisterProtocol注册一个新的协议,所获得的协议句柄实际上就是一个NDIS_PROTOCOL
【转帖】DriverNetwork miniport驱动学习
floweronwarmbed的专栏
11-03 3086
DriverNetwork miniport驱动学习(1)NDIS Miniport驱动框架介绍 NDIS miniport adapter 类继承了 KNdisMiniAdapter 类 并且声明了处理程序所需的signatures,例如Initialize(), Halt()和 Reset()。它们可以是虚拟的或者非虚拟的,或是派生类内联成员。对于这些处理程序的命名和DDK很接近。例如
Clarity 3D Layout
m0_53280471的博客
04-10 1982
Clarity 3D Layout Clarity 3D layout是3D 全波电磁场模型提取工具,它可以导入已经设计好的PCB文件也可以直接在Clarity 3D layout创建版图进行3D 全波电磁场模型提取。
NDIS中间层驱动程序
firebird321的专栏
11-16 4053
概要:开发一个NDIS驱动是一项相对复杂的工作,这一方面是由于核心驱动本身有更多的限制和要求,有更多的“游戏规则”要求开发者理解和掌 握,NDIS的复杂性把难度更是提高了,本文以PassThru为例,加上自己的理解,讲述了NDIS驱动的处理过程和在PassThru的基础上进行扩 展的基本方法,本文并不是一个入门读物,所以没有提及任何核心驱动开发的相关知识,本文主要讲述的是NDIS中间层对数据包处理
NDIS中间层的驱动包截获技术教程
yxyhack's blog
12-07 8725
<br /><br /><br />NDIS(Network Driver Interface Specification)是网络驱动程序接口规范的简称。它横跨传输层、网络层和数据链路层,定义了网卡或网卡驱动程序与上层协议驱动程序之间的通信接口规范,屏蔽了底层物理硬件的不同,使上层的协议驱动程序可以和底层任何型号的网卡通信。NDIS网络驱动程序创建了一个完整的开发环境,只需调用NDIS函数,而不用考虑操作系统的内核以及与其他驱动程序的接口问题,从而使得网络驱动程序可以从与操作系统的复杂通讯中分离,极大地方
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值