简单的tdi hook

最新推荐文章于 2019-07-04 18:40:46 发布
最新推荐文章于 2019-07-04 18:40:46 发布
阅读量923 收藏 1
点赞数
文章标签: hook null object attributes string 多线程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xyooyy_xyooyy/article/details/1429702
版权

学了一天tdi,整个框架看的还不是太明了,做了个简单的tdi hook的框架

主要代码如下

DRIVER_OBJECT RealTDIDriverObject;

typedef struct forcontext
{
 PVOID context_con;
 PVOID context_routine;
}context_org,*pcontext_org;//保存环境

extern
NTKERNELAPI
NTSTATUS
ObReferenceObjectByName (
IN PUNICODE_STRING ObjectName,
IN ULONG Attributes,
IN PACCESS_STATE PassedAccessState OPTIONAL,
IN ACCESS_MASK DesiredAccess OPTIONAL,
IN POBJECT_TYPE ObjectType,
IN KPROCESSOR_MODE AccessMode,
IN OUT PVOID ParseContext OPTIONAL,
OUT PVOID *Object
);
extern POBJECT_TYPE *IoDriverObjectType;

NTSTATUS HookTDI(void)
{
    NTSTATUS Status;
    UNICODE_STRING usDriverName;
    PDRIVER_OBJECT DriverObjectToHookPtr;
    int i;
 RtlInitUnicodeString(&usDriverName,L"//Driver//Tcpip");

    Status =
ObReferenceObjectByName(&usDriverName,OBJ_CASE_INSENSITIVE,NULL,0,*IoDriverObjectType,KernelMode,NULL,&DriverObjectToHookPtr);
    if(Status != STATUS_SUCCESS) return Status;

    for(i = 0;i < IRP_MJ_MAXIMUM_FUNCTION;i++) {
        RealTDIDriverObject.MajorFunction[i] =
DriverObjectToHookPtr->MajorFunction[i];
        DriverObjectToHookPtr->MajorFunction[i] = TDIDeviceDispatch;//hook 调用函数 并保存元函数
    }
 DbgPrint("success/n");
    return STATUS_SUCCESS;
}

NTSTATUS TDIDeviceDispatch(IN PDEVICE_OBJECT DeviceObject,IN PIRP Irp)
{
    NTSTATUS Status;
    PIO_STACK_LOCATION StackLocationPtr;
 char *buf,*pos;
 int len,size;
 PVOID orgcontext;
 orgcontext = (PVOID)ExAllocatePool(PagedPool, sizeof(context_org));
 DbgPrint("in tdi/n");
    if(Irp == NULL) return STATUS_SUCCESS;
    StackLocationPtr = IoGetCurrentIrpStackLocation(Irp);
    if(StackLocationPtr->CompletionRoutine != NULL)
 {
  DbgPrint("StackLocationPtr->CompletionRoutine 0x%08x/n",StackLocationPtr->CompletionRoutine);
  DbgPrint("StackLocationPtr->Context 0x%08x/n",StackLocationPtr->Context);
  ((pcontext_org)orgcontext)->context_con = StackLocationPtr->Context;
  ((pcontext_org)orgcontext)->context_routine = StackLocationPtr->CompletionRoutine;

//由于系统的多线程性 回调函数的时候有可能经过这里 必须完整地保存环境
  StackLocationPtr->Context = orgcontext;
 }
    else StackLocationPtr->Context = NULL;
 
 DbgPrint("0x%08x/n",TDICompletionRoutine);
    StackLocationPtr->CompletionRoutine =
(PIO_COMPLETION_ROUTINE)TDICompletionRoutine;
 DbgPrint("in tdi 4/n");
 if(StackLocationPtr->MajorFunction==IRP_MJ_INTERNAL_DEVICE_CONTROL)
 {
  if(StackLocationPtr->MinorFunction == TDI_RECEIVE)
  {  
   if(Irp->MdlAddress!=NULL){
    buf = (char *)MmGetSystemAddressForMdlSafe(Irp->MdlAddress, NormalPagePriority);
    if (buf != NULL)
    {
     len = StackLocationPtr->Parameters.DeviceIoControl.OutputBufferLength;
     size = len+1;

//。。。。。。。。。。。。。。。。。操作
    }
   }
  }
 }

    StackLocationPtr->Control = SL_INVOKE_ON_SUCCESS | SL_INVOKE_ON_ERROR |
SL_INVOKE_ON_CANCEL;
DbgPrint("in tdi 5/n");
    Status =
RealTDIDriverObject.MajorFunction[StackLocationPtr->MajorFunction](DeviceObject,Irp);
DbgPrint("in tdi 6/n");
    return Status;
}
NTSTATUS TDICompletionRoutine(PDEVICE_OBJECT DeviceObject,PIRP Irp,PVOID
Context)
{
    PIO_COMPLETION_ROUTINE RealCompletionRoutine;
 PIO_STACK_LOCATION isp;
 DbgPrint("in routine/n");
 if(!Context)
  return STATUS_SUCCESS;
 RealCompletionRoutine = (PIO_COMPLETION_ROUTINE)(((pcontext_org)Context)->context_routine);
 isp = IoGetNextIrpStackLocation(Irp);
    if(RealCompletionRoutine != NULL)
 {
  DbgPrint("isp->CompletionRoutine 0x%08x/n",isp->CompletionRoutine);
  DbgPrint("isp->Context 0x%08x/n",isp->Context);
  isp->CompletionRoutine = ((pcontext_org)Context)->context_routine;
  isp->Context = ((pcontext_org)Context)->context_con;

//在回调函数中把环境恢复
  ExFreePool(Context);
  return RealCompletionRoutine(DeviceObject,Irp,isp->Context);
 }  
 else {
  DbgPrint("context0/n");
  return STATUS_SUCCESS;
 }
}

NTSTATUS ReleaseTDIDevices(void)
{
    NTSTATUS Status;
    UNICODE_STRING usDriverName;
    PDRIVER_OBJECT DriverObjectToHookPtr;
    UINT i;

    RtlInitUnicodeString(&usDriverName,L"//Driver//Tcpip");

    Status =
ObReferenceObjectByName(&usDriverName,OBJ_CASE_INSENSITIVE,NULL,0,IoDriverObjectType,KernelMode,NULL,&DriverObjectToHookPtr);
    if(Status != STATUS_SUCCESS) return Status;

    for(i = 0;i < IRP_MJ_MAXIMUM_FUNCTION;i++)
        DriverObjectToHookPtr->MajorFunction[i] =
RealTDIDriverObject.MajorFunction[i];

    return STATUS_SUCCESS;
}

xyooyy_xyooyy
关注
Windows防火墙之NDIS HOOKTDI HOOK
深度技术安全
02-20 8102
<br />1、TDI HOOK<br /> TDI Client利用TDI接口,向TDI Server发送IRP(I/O Request Packet)请求包,来获得TDI Server提供的服务。因此,可以利用分层驱动原理[5],在TDI Client和TDI Server驱动之间加一层过滤驱动-FilterDriver.sys。对于TCP/IP协议而言,在Windows网络协议体系结构中是由Tcpip.sys驱动实现的。Tcpip.sys创建了几个设备对象,/Device/RawIp,/Device/
TDI HOOK监控tcp连接源码+文档
gold0523的专栏
08-14 3191
作 者: boywhp 时 间: 2011-08-11,17:59:22 链 接: http://bbs.pediy.com/showthread.php?t=138620 直接改的tdifw,精简掉乱七八糟的代码,一共500来行搞定,写了一个简单的文档 相信大家都可
TDI Hooking [Zz]
LionD8' Blog 个人作品 www.360kdj.com 360KDJ股票实验室
09-13 6244
NDIS and TDI Hooking, Part II By: andreas This is the second and last article on how to hook into the NDIS and TDI layer. The approach we will use will be slightly different from the NDIS case. Howeve
利用 TDI HOOK 实现任意端口复用
白日梦
05-30 4201
所谓tdi hook,我这里利用的是hook tcpip dispatch table的方法,实际上复用的原理很简单,关键是hooktdi_event_connect,之后从*AcceptIrp中取出conn obj,将其传递到自己定义的tdisend中就可以了。这里唯一蹩脚的地方是在处理TDI EVENT的时候,当进程启动后,它首先系统注册这些event handler,在有相应的网络事件发生
TDI_HOOK一个TDI hook的源代码
04-20
一个关于TDI hook的源代码,大部分代码取自TDI_FW,对新学TDI的人还是有帮助的
网络数据拦截(TDI Filter Hook)
05-16
网络数据拦截(TDI Filter Hook)
论文研究-基于NDISHOOK与SPI的个人防火墙研究与设计.pdf
07-22
介绍了NDIS系统结构以及在Windows 2000/NT下NDIS-HOOK的原理,并给出了一个基于NDISHOOK技术的个人防火墙驱动程序——Packet.sys。利用该驱动程序与SPI技术相结合,可方便地实现基于Windows的个人防火墙。
卡巴斯基HOOK引擎分析
11-07
Transport Driver Interface (TDI) HOOK允许卡巴斯基监控网络通信,确保网络层的安全。 **CALLBACKS** 回调函数是系统事件的处理程序,卡巴斯基可能设置回调函数来在特定事件发生时执行其安全逻辑。 **结论** ...
(转)TDI过滤驱动分析
weixin_30325971的博客
01-15 415
http://welfear.blogspot.com/2009/02/tdi.html 目录 0 介绍0.1 TDI驱动作用0.2 Windows NT网络总体结构1. 过滤设备1.1 绑定目标1.2 分发函数1.3 过滤地址1.4 过滤内容1.4.1 过滤HTTP1.4.2 过滤DNS2. VISTA网络结构3. 驱动代码分析3.1 主要数据结构分析3.2 主要算法分析4. 附...
tdi_fw贴码析(TDI开源网络防火墙分析)
whatday的专栏
07-22 3290
tdi_fw是一个基于TDI的网络防火墙,继承自tdifw,完全采用AttachDevice的方式来实现功能,目标是成为一个高效轻巧的架构,并稳定运行于xp,win7的32位与64位版本。 memtrack模块 memtrack.h memtrack.c 跟踪内存分配与释放,避免内存泄露 #if DBG 时,自定义的内存分配函数malloc_np会在分配内存的同时建立一个
TDI FILTER 网络过滤驱动完全解析
热门推荐
CharlesPrince的专栏
10-06 1万+
WDM TDI Filter驱动的组织架构
TDI笔记
kernweak的博客
07-04 1073
XP中应用层数据到达内核,经过TDI驱动,TDI Client驱动程序-》TDI传输驱动程序,在TDI驱动中数据此时还在IRP包里,TDI中网络数据还封装在IRP包中,还是可以查看属于哪个进程的。所以进程查看等就在这设置。 再往下发给NDIS驱动,这时候就是纯NDIS网络数据包了,脱离了进程。如果进行限流的话就是TDI加NDIS结合使用。因为NDIS脱离了进程。 NDIS分为三层,网络协议驱动...
基于TDI的网络防火墙
cqyczj的专栏
05-14 2186
tdi_fw是一个基于TDI的网络防火墙,继承自tdifw,完全采用AttachDevice的方式来实现功能,目标是成为一个高效轻巧的架构,并稳定运行于xp,win7的32位与64位版本。 memtrack模块 memtrack.h memtrack.c 跟踪内存分配与释放,避免内存泄露 #if DBG 时,自定义的内存分配函数malloc_np会在分配内存的同时建立一个
Tdifw 移植到win7
书写成功
09-01 3458
最近再接触开源网络驱动Tdifw,要把它移植到win7sh
HOOK机制与数据库访问技术
DAO是一种简单的数据访问方法,广泛应用于Access数据库的开发中。 RDO(Remote Data Object)是微软公司推出的另一种数据库访问技术,用于远程访问数据库。RDO提供了一种统一的接口,允许应用程序远程访问不同的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值