Windows防火墙之NDIS HOOK和TDI HOOK

最新推荐文章于 2024-08-15 09:29:04 发布
最新推荐文章于 2024-08-15 09:29:04 发布
阅读量8k 收藏 9
点赞数
分类专栏: 驱动开发 windows安全 文章标签: hook 防火墙 windows 网络协议 server 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-NC-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/winsunxu/article/details/6196319
版权

1、TDI HOOK

 TDI Client利用TDI接口,向TDI Server发送IRP(I/O Request Packet)请求包,来获得TDI Server提供的服务。因此,可以利用分层驱动原理[5],在TDI ClientTDI Server驱动之间加一层过滤驱动-FilterDriver.sys。对于TCP/IP协议而言,在Windows网络协议体系结构中是由Tcpip.sys驱动实现的。Tcpip.sys创建了几个设备对象,/Device/RawIp/Device/Udp/Device/Tcp/Device/Ip /Device/MULTICAST来接收TDI ClientIRP请求包。所以,我们可以在这些设备对象上挂接自己的设备对象,当TDI ClientTDI Server发送IRP包时,该IRP包首先被我们的设备对象截获并交由我们的过滤驱动FilterDriver.sys处理,如果允许这个IRP包下发就放行,否则,在我们的过滤驱动FilterDriver.sys中请求I/O管理器完成该IRP请求。TDI HOOK后结构示意图如下图:

2、NDIS HOOK

 NDIS HOOK 就是通过自定义的回调例程替换NDIS wrapper 的相应函数,使得系统调用被截获的一种系统监视机制。常见实现NDIS hook 的方法是修改NDIS. sys 的导出表(export table),这种方法需要在操作系统重启后才可以生效[ 1 ]。我们提出的是一种注册假协议(fake protocol)的方法,它没有重启限制,不仅加快了开发调试,还可以方便防火墙的使用。

 Windows NT 系统内核中,所有已注册的网络协议都是通过一个单向链表来维护的。链表的节点结构为NDIS_PROTOCOL_BLOCKNDIS_PROTOCOL_CHARACTERISTICS地址就在这个结构中,NDIS_PROTOCOL_CHARACTERISTICS中保存了收包函数地址和注册网络协议时所指定的各种信息,如支持协议即插即用的回调函数地址等。每个协议驱动都对应一个NDIS_OPEN_BLOCK 结构的单向链表来维护其所绑定的适配器信息,协议驱动发送的回调函数地址就保存在这个结构中,我们只需替换这些地址就可以控
最低0.47元/天 解锁文章
winsunxu
关注
专栏目录
个人防火墙--中间层NDIS中间层驱动发送和接收流程
u011386637的博客
05-05 3833
1)用户态(user-mode)。 在用户态下进行网络数据包的拦截有三种方法:WinsockLayeredServiceProvider(LSP)、Windows2000包过滤接口、替换系统自带的WINSOCK动态连接库。在用户态下进行数据包拦截最致命的缺点就是只能在Winsock层次上进行,而对于网络协议栈中底层协议的数据包无法进行处理。因此,这些方法并不适合个人防火墙。 2)内核态
NDIS HOOK 防火墙实现关键技术
07-28
NDIS HOOK 防火墙实现关键技术防火墙实现关键技术
windows ndis 详解
最新发布
zhangyihu321的专栏
08-15 1168
windows ndis 网络驱动
ndis_hook.c
03-22 1921
ndis_hook.c00004 00014 #include 00015 00016 #include "adapters.h"00017 #include "av.h"00018 #include "memtrack.h"00019 #include "ndis_hk.h"00020 #include "filter.h"00021 #include "
简单的tdi hook
xyooyy的专栏
12-04 922
学了一天tdi,整个框架看的还不是太明了,做了个简单的tdi hook的框架主要代码如下DRIVER_OBJECT RealTDIDriverObject;typedef struct forcontext{ PVOID context_con; PVOID context_routine;}context_org,*pcontext_org;//保存环境extern NTKERNEL
TDI 或者NDIS filter 实现进程禁止联网
dingchangkejigongsi的博客
05-15 2657
要想在驱动层做到禁止某个进程访问网络,这个需求是非常容易的。TDI、NDIS 以及WFP任何一个框架都可以很快实现这个需求。他们之间有什么不同点那,首先TDI实现起来我认为是最简单,并且兼容性也是最好的。有人说TDI不支持win7以上系统,我想问一下,你试过吗?为啥不行那?我可以很负责的告诉你是可以的。        NDIS也是可以是实现的,这个是用网络层来控制的。也就是说可以做到IP层的所有数...
利用 TDI HOOK 实现任意端口复用
白日梦
05-30 4199
所谓tdi hook,我这里利用的是hook tcpip dispatch table的方法,实际上复用的原理很简单,关键是hooktdi_event_connect,之后从*AcceptIrp中取出conn obj,将其传递到自己定义的tdisend中就可以了。这里唯一蹩脚的地方是在处理TDI EVENT的时候,当进程启动后,它首先系统注册这些event handler,在有相应的网络事件发生
论文研究-基于NDISHOOK与SPI的个人防火墙研究与设计.pdf
07-22
介绍了NDIS系统结构以及在Windows 2000/NT下NDIS-HOOK的原理,并给出了一个基于NDISHOOK技术的个人防火墙驱动程序——Packet.sys。利用该驱动程序与SPI技术相结合,可方便地实现基于Windows的个人防火墙
Win64 驱动内核编程-16.WFP网络监控驱动(防火墙
热门推荐
天使也掉毛
03-14 1万+
WFP驱动监控网络     WFP 是微软推出来替代 TDI HOOK、NDIS HOOK 等拦截网络通信的方案,WFP 的框架非常庞大,在 RING3 和 RING0 各有一套类似的函数,令人兴奋的是,即使在 R3 使用 WFP,也可以做到全局拦截访问网络。由于 WFP 的范围太广,实在难以一言概括,感兴趣的朋友可以自行到 MSDN 上查看微软对它的官方概述。本文的目的,是给大家理顺 WFP 
Windows网络数据包NDIS_Hook拦截技术
12-27
Windows网络数据包NDIS_Hook拦截技术.pdf
网络数据拦截(TDI Filter Hook)
05-16
网络数据拦截(TDI Filter Hook)
TDI_HOOK一个TDI hook的源代码
04-20
一个关于TDI hook的源代码,大部分代码取自TDI_FW,对新学TDI的人还是有帮助的
简单分析用SPI实现防火墙
snsins的专栏
12-09 2692
                                       简单分析用SPI实现防火墙  作者:snsins如有转载,请注明并保持文章的完整2002.12.5--------------------------------------------------------------------------------------------------------
NDIS HOOK开发简单日志(3)-ndis版本
04-26 2089
如果多平台网络驱动的时候,不可避免有些核心的结构是不同的,比方编译出现以下错误BindAdapterHandler : is not a member of _NDIS30_PROTOCOL_CHARACTERISTICS明显我的结构应该是_NDIS50_PROTOCOL_CHARACTERISTICS,但是vc编译的时候无法识别(我喜欢quicksys的框架,新版0.3.0支
TDI Hooking [Zz]
LionD8' Blog 个人作品 www.360kdj.com 360KDJ股票实验室
09-13 6240
NDIS and TDI Hooking, Part II By: andreas This is the second and last article on how to hook into the NDIS and TDI layer. The approach we will use will be slightly different from the NDIS case. Howeve
NDIS HOOK开发简单日志
04-24 4511
今天调试了下uay backdoor, 其实基于ndis hook的想法的rootkit,2003年的时候我已经想过,一直没有动手了,看来实战第一. 呵呵,当然波兰的女hacker的rootkit 似乎也是这个思路,没有公布一点源码,这里我们应该感谢uay; 他在源代码里面也提到是采用了gjp的ndis hook技术---fake protocol,其实就是注册一个假协议获取协议连,从而递归来ho
NDIS HOOK及MINIPORT HOOK的实现
The Art Of Kernel
09-01 1228
[0x00]    网上有很多讨论关于NDIS HOOK的文章,但大多只讲了WIN7之前的HOOK NDIS_OPEN_BLOCK下的例程,至于WIN7下怎么 HOOK以及如何做MINIPORT-HOOK,网络上则鲜有提及.根据前阵子的相关分析,我把NDIS HOOK总结一下
Windows个人防火墙设计与实现:NDIS中间层驱动开发流程详解
NDIS(Network Data Interface Specification)中间层驱动开发的总体流程是一个关键的IT技术领域,它涉及在Windows操作系统环境中创建和管理网络设备驱动程序。该流程主要围绕以下几个步骤展开: 1. **设备驱动开发...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

winsunxu

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值