关于TDI过滤驱动中的TDI_SEND

最新推荐文章于 2019-03-25 00:11:00 发布
最新推荐文章于 2019-03-25 00:11:00 发布
阅读量1.4k 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012187684/article/details/19750947
版权
现在只能获取到数据,现在我想重新构造这个包,然后再发送出去,有什么办法呢?最好有码了。
如果直接修改原来的地方的话 那肯定是非常的麻烦的,会涉及到数据包变大或者变小的问题。还有就是内核中有什么函数可以解析HTTP GET报文的函数吗?

代码:

  NTSTATUS status = STATUS_UNSUCCESSFUL;
  PVOID pData = NULL;
  //获取盏指针
  PIO_STACK_LOCATION pIoStack = irp->Tail.Overlay.CurrentStackLocation;

  switch (pIoStack->MinorFunction)
  {
  case TDI_SEND://发送操作
      //获取内容
      KdPrint(("发送操作\n"));
      PTDI_REQUEST_KERNEL_SEND request_send;
      request_send = (TDI_REQUEST_KERNEL_SEND *)&pIoStack->Parameters;
pData = MmGetSystemAddressForMdlSafe(irp->MdlAddress, NormalPagePriority);
KdPrint(("发送的数据%s\n", (char *)pData));


陈刚12
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
基于TDI 的 TCP数据传输
11-16
基于TDI 的 TCP数据传输 1.上位机 上位机包括tcp和tcp.cpp 1.1 对外函数说明 HANDLE TdiTcpOpen(); TdiTcpOpen用于打开设备,成功返回有效的句柄,失败返回INVALID_HANDLE_VALUE. BOOL TdiTcpClose(HANDLE hDevice); TdiTcpClose用于关闭设备,成功返回TRUE,失败返回FALSE; hDevice为TdiTcpOpen返回的句柄 BOOL TdiTcpConnect(HANDLE hDevice,const PCHAR pIpAddres,USHORT uPort); TdiTcpConnect用于与服务器建链,pIpAddres为服务器IP地址,uPort为服务器端口地址。 hDevice为TdiTcpOpen返回的句柄 pIpAddres为IP地址,如”10.0.0.20” uPort为端口地址 BOOL TdiTcpSend(HANDLE hDevice,PVOID pBuff,ULONG nLen,PULONG pRtn); TdiTcpSend用于给服务器发送数据. hDevice为TdiTcpOpen返回的句柄 pBuff接向发送数据的指针 nLen发送数据长度 pRtn发送成功长度 BOOL TdiTcpRcv(HANDLE hDevice,PVOID pBuff,ULONG nLen,PULONG pRtn); TdiTcpRcv用于从服务器接收数据 hDevice为TdiTcpOpen返回的句柄 pBuff接收数据缓冲区 nLen接收数据缓冲区长度 pRtn实际接收数据长度指针 BOOL TdiTcpSetRcvTimeOut(HANDLE hDevice,ULONG ulSecond); TdiTcpSetRcvTimeOut用于设置接收数据超时时间,默认为3秒。 hDevice为TdiTcpOpen返回的句柄 ulSecond为超时时间 2.下位机 下位机包括D1603.h D1603.cpp和Tdifun.cpp TdiFun.h 2.1 关键数据结构 驱动与应用连接服务器结构体 typedef struct _CONNECT_STRUCT { ULONG ip; //服务器IP地址 USHORT port; //服务器端口 }CONNECT_STRUCT,*PCONNECT_STRUCT; //设备展结构体 typedef struct _DEVICE_EXTENSION { PDEVICE_OBJECT pDeviceObject; //设备指针 UNICODE_STRING wstrDeviceName ; //设备名 UNICODE_STRING wstrSymbolicLinkName;//设备链接名 }DEVICE_EXTENSION,*PDEVICE_EXTENSION; 读数据链接 typedef struct _RCV_IPR_LIST { PIRP pIrp; //指向读IPR LIST_ENTRY ListEntry; //链表 }RCV_IPR_LIST,*PRCV_IPR_LIST; 当前链接上下文 typedef struct _SOCKET_CONTEXT { HANDLE TransportAddressHandle; //传输地址句柄 FILE_OBJECT* pTrasnportAddressFile;//传输地址指针 HANDLE ConnectionHandle;//连接地址句柄 FILE_OBJECT* pConnectionFile;//连接地址指针 LIST_ENTRY RcvHead; //接收IRP链表头 KEVENT event; //接收数据同步事件 ULONG uTimeOut; // 接收数据超时 }SOCKET_CONTEXT,*PSOCKET_CONTEXT; 2.2 外函数说明 驱动装载主入口函数 NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject,PUNICODE_STRING RegistryPath); 驱动卸载函数 VOID D1603Unload(PDRIVER_OBJECT DriverObject); 默认IRP回调函数 NTSTATUS D1603Dispatch(PDEVICE_OBJECT DeviceObject,PIRP Irp); TdiTcpOpen对应的IPR函数 NTSTATUS D1603Create(PDEVICE_OBJECT
tdi驱动示例,TDI官方入门helloworld
02-11
WDK下驱动和应用层序通信,Windows_TDI过滤驱动开发
驱动开发之五 --- TDI之五【译文】
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
06-22 878
驱动开发之五 --- TDI之五【译文】 步骤5:发送和接收数据 为了发送数据,你只需创建一个TDI_SEND IOCTL,然后把它传送给传输设备。下面的代码实现了数据发送。 NTSTATUS TdiFuncs_Send(PFILE_OBJECT pfoConnection, PVOID pData,
驱动层 完成获取进程网络流量模块(总结)
脚踏实地,不断突破自我,每天有收获就OK
12-11 8673
xp和win7实现进程网络信息(上传速度和下载速度),在windows下采用TDI和WFP的框架,有开发相关功能的哥们一起研究哈 最近在做进程限速的功能,准备xp下NDIS+TDI,win7以后平台采用WFP+NDIS Filter来实现,多看文档,多看wdk示例文档, 通过逆向来找到灵感和思路,主要逆向Netlimiter 和360的流量防火墙网络驱动代码,小菜一枚,望和大家多多交流
(转)TDI过滤驱动分析
weixin_30325971的博客
01-15 406
http://welfear.blogspot.com/2009/02/tdi.html 目录 0 介绍0.1 TDI驱动作用0.2 Windows NT网络总体结构1. 过滤设备1.1 绑定目标1.2 分发函数1.3 过滤地址1.4 过滤内容1.4.1 过滤HTTP1.4.2 过滤DNS2. VISTA网络结构3. 驱动代码分析3.1 主要数据结构分析3.2 主要算法分析4. 附...
传奇病毒劫持流量手法分析
weixin_30335353的博客
03-25 786
技术点 通过TDI过滤、DNS劫持、HTTP(s)注入、HOSTS重定向等技术手法篡改用户系统网络数据包,将正常网页访问劫持引流至指定私服网站,并利用安全软件云查杀数据包屏蔽、关机回调重写等手段实现对抗查杀。 技术细节 A、注册TDI回调函数,过滤收发包 病毒驱动加载后,对TDI_SENDTDI_SET_EVENT_HANDLER进行了处理,前者主要是负责网络数据的发包,后者则是负...
(转)TDI FILTER 网络过滤驱动完全解析
weixin_30445169的博客
01-15 352
http://blog.csdn.net/charlesprince/article/details/5924376   TDI FILTER 过滤驱动的功能一般用来进行整个系统的所有网络流量的分析,记录和管理,可以实现非常强大的管理功能,这里就将讨论它的设计架构,和具体实现的方法。   进行系统级网络数据包的过滤,很明显,第一步需要在系统内核截取到网络数据包,那么在WINDOW...
drv.rar_TDI Firewall_tdi driver_tdi 过滤_封包拦截_拦截驱动
09-19
驱动程序开发的例子,tdi防火墙源代码,数据封包的拦截,过滤
tdi.rar_TDI Filter_TDI Firewall_tdi 防火墙_tdi过滤_trojan
最新发布
09-23
非常使用的基于TDI驱动开发的应用程序过滤 防火墙的例子
新文件过滤接口程序员指南.rar_tdi_windows 驱动_接口 文档_文件过滤_文件过滤驱动
09-20
这个文档用于I/O管理器和基本文件系统之间的过滤驱动。文件系统可能是本地或者网络的。这个文档不涉及文件系统和存储设备之间的过滤驱动,比如FtDisk和DMIO. 我们将主要讨论一种新的文件系统过滤驱动模型,所谓的微...
某开源防火墙源代码 TDI网络过滤驱动开发
01-28
某开源防火墙源代码 TDI网络过滤驱动开发
Windows TDI过滤驱动开发(PDF)
09-06
目 录(0) TDI概要(1) 准备工作(2) TDI设备与驱动入手(3) 绑定设备(4) 简单的处理请求(5) 基础过滤框架(6) 主要过滤的请求类型(7) CREATE的过滤(8) 准备解析ip地址与端口(9) 获取生成的IP地址和端口(10) 连接终端的生成与相关信息的保存(11) TDI_ASSOCIATE_ADDRESS的过滤(12) TDI_CONNECT的过滤(13) TDI_SEND,TDI_RECEIVE,TDI_SEND_DATAGRAM,TDI_RECEIVE_DATAGRAM(14) 设置事件(15) TDI_EVENT_CONNECT类型的设置事件的过滤(16) 一个传说的问题(17) 收尾与清理的工作
tdi防火墙 过滤驱动
08-22
开源个人防火墙源码 学习驱动和防火墙的不错资料
TDI过滤获取IP及端口
TrustNature
08-24 1637
TDI过滤驱动获取IP地址及连接端口要涉及关于TDI的一些结构体,当接收到含有TDITDI_CONNECT连接IRP请求时,IRP请求栈顶的的参数parameters就是指向TDI_REQUEST_KERNEL_CONNECT结构体的指针,实际上,这个结构体就是TDI_REQUEST_KERNEL。这个结构体定义在tdikrnl.h定义如下: typedef struct _TDI_REQU
TDI 过滤驱动
锄禾日当午
06-16 666
TDI FILTER 过滤驱动的功能一般用来进行整个系统的所有网络流量的分析,记录和管理,可以实现非常强大的管理功能,这里就将讨论它的设计架构,和具体实现的方法。 进行系统级网络数据包的过滤,很明显,第一步需要在系统内核截取到网络数据包,那么在WINDOWS平台下,应该如何实现这样的功能? 在WINDOWS内核,数据的通信载体是IRP包,如果希望截取到I...
驱动开发之五 --- TDI之一 【译文】
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
06-22 1164
驱动开发之五 --- TDI之一 【译文】 理论: 本篇的题目有点容易让人误解。出于演示目的,我们写一个TDI客户端,但这并不是我们本篇的目的所在。本篇意在进一步探究怎样处理irp和怎样与之交互。本篇将会介绍怎样排队和处理要取消的IRP. 本篇真正的题目应该是“IRP处理介绍“,然而它不是一个非常引人注意的名字。并且我们的这个题目并不完全是一个谎言,因为我们会把TDI客户端驱动作为
Windows TDI过滤驱动开发详解:入门与实践
对于发送和接收数据,章节(13)至(16)详细讲解了TDI_SENDTDI_RECEIVE等函数的使用和相应的事件设置,如TDI_EVENT_CONNECT的监控。 一个值得注意的问题可能会出现在(16)部分,可能是关于性能优化、兼容性问题或特定...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值