WFP笔记

最新推荐文章于 2023-06-25 01:22:52 发布
最新推荐文章于 2023-06-25 01:22:52 发布
阅读量2.8k 收藏 5
点赞数 1
分类专栏: 驱动开发 windows 内核 网络 WFP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/youyou519/article/details/94736080
版权
windows 同时被 3 个专栏收录
105 篇文章 15 订阅
订阅专栏
内核
85 篇文章 6 订阅
订阅专栏
驱动开发
83 篇文章 10 订阅
订阅专栏

特点

WFP系统已经有数据过滤引擎的防火墙,没有规则,编写用户层的程序给WFP引擎设置规则,编写核心态的callout驱动处理WFP抓到的网络数据包做深度处理。比如加解密压缩解压缩之类在需要写驱动。

WFP分为

Layers:把规则分为若干组,GUID表示,子层https://docs.microsoft.com/zh-cn/windows/win32/fwp/basic-operation

Filters:用于处理包的一些规则集合

Shims:小垫片,解析网络堆栈中的流,包,事件,调用通过过滤引擎并根据规则评估数据。或者进一步调用callout,最后决定对包的最终处理。

Callouts函数:由驱动暴露的一组接口函数,负责进一步分析或者修改包,比如classify数据处理函数。可以返回一组permit,block,continue,defer,needmoredata等。

Classify:利用规则过滤包的过程,将包的各种属性与规则中断conditions进行比较。

WFP的整体流程

1.一个包进出入网络栈,网络栈就会查找和调用Shims,shim就会再某个特定的层触发一个分类程序(就是一个规则匹配)。

2.在这个分类程序中,过滤器会被匹配,匹配到了规则制定的结果会被执行。

3.如果制定了callout,就交给callout执行。

4.shim最后来执行这个结果。

WFP编写流程

FwpmEngineOpen()打开WFP引擎->FwpmTransactionBegin()开始第一次引擎事务处理->FwpmSubLayerAdd()->FwpsCalloutRegister()-向WFP系统添加Callout>FwpmFilterAdd()向WFP添加过滤器,就是添加规则->FwpmTransactionCommit()结束事务处理,关闭WFP引擎。

注册callout-R0注册

就是编写相关结构体,然后往结构体添加我们的处理函数,跟MiniFilter等类似

NTSTATUS status=STATUS_SUCCESS;
FWPS_CALLOUT0 sCallout={0};
sCallout.calloutKey=*calloutKey;//callout的guid key,guid generater生成的
sCallout.classifyFn=XxxClassify;//classify数据处理函数,里面变量中,处在不同层可以在里面的inFixedValue拿到不同数据,比如端口,ip等,inMetaValue是扩展数据,比如PID,路径等。LayerData包的原始数据指针,filter,lowContext,classifyOut是结果
sCallout.notifyFn=XxxNotify;//事件通知函数,通知callout发生的事件
sCallout.flowDeleteFn=XxxFlowDelete;//数据流结束时调用
status=FwpsCalloutRegister0(deviceObject,&sCallout,calloutld);//注册上面函数到系统中去

添加Callout-R0和R3皆可

FWPM_CALLOUT0 mCallout={0};
FWPM_DISPLAY_DATA0 displayData={0};
displayData.name=L"Transport Inspect ALEClassify Callout";
displayData.description=L"Intercepts inbound or outbound connect attempts";

mCallout.calloutKey=*calloutKey;//GUID
mCallout.displayData=displayData;
mCallout.applicableLayer=*layerKey;//添加到哪一层

status=FwpmCalloutAdd0(gEngineHandle,&mCallout,NULL,NULL);

注册filter-R0R3皆可

FWPM_FILTER0 filter={0};
FWPM_FILTER_CONDITION0 filterCondition[3]={0};//条件,比如IP多少之类的
UINT conditionIndex;

filter.layerKey=*layKey;//放到哪一层
filter.displayData.name=xxxx;
filterdisplayData.description=xxxx;

filter.action.type=FWP_ACTION_CALLOUT_TERMINATING;//就是交给callout处理。FWP_ACTION_BLOCK
filter.action.calloutKey=*calloutKey;
filter.filterCondition=filterConditions;
。。。。。、
filterCondition[conditionIndex].fieldKeyXXXX
.....
status=FwpmFilterAdd0();
.....

每一层Layer能下单filter:https://docs.microsoft.com/zh-cn/windows/win32/fwp/filtering-conditions-available-at-each-filtering-layer

WFP CALLout流程:

实现注册callout,添加callout,下规则。

demo

https://docs.microsoft.com/zh-cn/windows/win32/fwp/using-windows-filtering-platform

关于进程监控

WinDDK\7600\src\network\trans\msnmntr

INSPECT 开启了一个工作者线程检查包

WinDDK\7600\src\network\trans\inspect

总结

WFP程序思路

根据需要确定过滤的层,实现并注册callout,添加callout,添加filter规则,实现classifyFn函数

 

 

kernweak
关注
专栏目录
wfp例子inspect说明
enablewindow18的博客
01-10 1257
inspect WFP流量检查例子 这个例子驱动展示了WFP的流量检查能力。 这个例子驱动拦截所有发出和从一个可配置的远程peer接收到的传输流量(例如TCP、UDP、noerror ICMP),并把它们queue到一个worker thread以进行out-of-band处理。 inspect.sys检查inbound和outbound连接,以及所有属于这些连接的packets。此外,inspect.sys展示了IPSec兼容性的特别考虑。 Inspect.sys为ALE Connect, Recv-A
《深入浅出WPF》学习笔记
贵有恒,何必三更眠五更起;最无益,莫过一日曝十日寒
05-03 4196
WPF是什么? WPF是Windows Presentation Foundation的简称,是用来专门编写程序表示的技术 1.XAML概览 1.1XAML是什么 XAML(Extensible Application Markup Language):可扩展应用程序标记语言,类似于HTML+CSS+JavaScript的组合 XAML是WPF技术中专门用来设计UI的语言 XAML是...
WFP经典教程_WPF入门级教程
08-03
适合初学者的教程,都是word文档形式,便于学习。
WFP 学习(一)——构架把握
jmhIcoding
02-18 1万+
Windows Filtering Platform Windows Filtering Platform(WFP) 是windows推出的用于TCP/IP协议栈五里面对数据包进行交互操作的基础框架,该框架提供了一系列的API用于实现交互目的。这个框架的作用是为了取代之前的TDI/NDIS/LSP技术。 这个东西能够干啥呢? 使用WFP API,开发者可以实现个人防火墙、入侵检测系统、防病毒...
WFP-Traffic-Redirection-Driver:WFP流量重定向驱动程序用于基于Windows筛选平台(WFP)重定向网络和成帧上的NIC流量
05-09
WFP流量重定向驱动程序 WFP流量重定向驱动程序用于基于Windows筛选平台(WFP)重定向网络和成帧上的NIC流量。 该项目是从派生的。 特征 灵活且可配置 反流量嗅探(WinPcap / Npcap / Rawsock嗅探) 如何建立/部署 要求 Visual Studio 2017 Windows驱动程序套件10 建立/部署步骤 在主机上的Visual Studio中生成.vcxproj 在目标计算机上启用测试签名 在目标计算机上安装.cer (证书)和.inf (驱动程序配置) 有关更多信息,请参见。 如何使用 设置注册表 按键下的设置值: HKLM\System\CurrentControlSet\Services\inspect\Parameters 下表显示了所有值: 价值 类型 例子 LocalRealAddress REG_SZ 10.109.16
Windbg查看WFP驱动callout
q6771020的博客
06-03 605
kd> dp netio!gWfpGlobal L1 fffff801`96a63258 ffffe001`b9e025b0 kd> u netio!FeInitCalloutTable L10 NETIO!FeInitCalloutTable: fffff801`96a22490 4053 push rbx fffff801`96a22492 4883ec20 sub rsp,20h fffff801`96a22496 488b05bb0d0400 mov rax,qw
C语言基础(详细笔记
最新发布
qq_40723665的博客
06-25 946
/定义两行三列的数组分别代表行列1.结构体定义格式struct 结构体类型名结构体成员类型1 结构体成员名1;...结构体成员类型n 结构体成员名n;2.结构体定义可以嵌套3.声明结构体类型时不占内存,声明结构体变量才占内存4.操作结构体变量时不能直接对结构体变量操作,只能对结构体成员操作5.结构体变量定义 :1>结构体变量声明 :struct Student stu;2>结构体指针 -- > 结构体成员名int year;int month;int day;
InetAddress相关笔记
u010278862的专栏
09-15 1755
InetAddress的实例对象包含以数字形式保存的IP地址,同时还可能包含主机名(如果使用主机名来获取InetAddress的实例,或者使用数字来构造,并且启用了反向主机名解析的功能)。InetAddress类提供了将主机名解析为IP地址(或反之)的方法。其生成InetAddress对象的方法(getLocalHost(),getByName(),getAllByName(),getByAddr
荣耀电脑MagicBook_2019无线网卡驱动Intel_WLAN_20.120.0.4.zip
04-22
【荣耀电脑MagicBook_2019无线网卡驱动Intel_WLAN_20.120.0.4.zip】这个压缩包文件是为荣耀MagicBook 2019款笔记本电脑提供的一款无线网卡驱动程序,其核心是Intel WLAN驱动,版本号为20.120.0.4。...
WPF学习笔记——16)列表控件
小唐要努力的博客
05-24 1175
WPF提供了许多包装集合的控件。这里包括了ListBox列表控件、ComboBox组合框控件,还有其他的更多的空间我们就不介绍了。 1、ListBox ListBox就是包含了列表的一个控件,我们用WPF程序来说明如何使用。 ListBox主要通过ListItem这个属性来创建元素,可以包括文本,图片和按钮等等其他控件,也可以包括一些布局面板。 我们可以通过ListBox的SelectedIndex和SelectedItem属性访问选中对象的下标和选中的对象,我们创建三个复选框为例说明。
WFP单实例应用程序示例
12-24
单实例应用程序示例 单实例应用程序示例 单实例应用程序示例
MiniFilter 工作原理
墨鱼菜鸡
05-14 231
什么是 MiniFilter minifilter 是 sfilter 后微软推出的过滤驱动框架。相比于sfilter,更容易使用,需要程序员做的编码更简洁。系统为minifilter专门制作了一个过滤管理器,这个管理器...
Windows驱动_WFP之三Callout驱动的操作
热门推荐
Z18_28_19的专栏
10-20 1万+
还是没最终下那个决定,也许自己真的没有做大事的魄力,或者根本就做不成大事。做大事者,最忌,犹豫不决,婆婆妈妈,拖泥带水。但是,我有那么多的牵绊,我不得不考虑。其实,我心里已经做了决定,现在只是时间的问题。现在,心里的决定还是没有动摇的,这个我确信不疑的。所以,接下来的时间,我要好好准备。WFP差不多了,要开始到文件系统的minifilter,有时间的话,还要开始网络IO,还有javascript。
驱动 完成获取进程网络流量模块(总结)
脚踏实地,不断突破自我,每天有收获就OK
12-11 8702
xp和win7实现进程网络信息(上传速度和下载速度),在windows下采用TDI和WFP的框架,有开发相关功能的哥们一起研究哈 最近在做进程限速的功能,准备xp下NDIS+TDI,win7以后平台采用WFP+NDIS Filter来实现,多看文档,多看wdk示例文档, 通过逆向来找到灵感和思路,主要逆向Netlimiter 和360的流量防火墙网络驱动代码,小菜一枚,望和大家多多交流
一个完整的WFP驱动(详细注释)
qq_41490873的博客
11-14 3407
#include <ntddk.h> #pragma warning(push) #pragma warning(disable:4201) // unnamed struct/union #pragma warning(disable:4995) #include <fwpsk.h> #pragma warning(pop) #include <ndis.h> #include <fwpmk.h> #include <limits.h&gt
【驱动开发】Windows过滤平台(WFP,Windows Filtering Platform)
qq_42814021的博客
04-13 3315
TDI:Transport Driver Interface,传输接口。TDI在Windows Vista之后就不再支持了,之后的版本中被WFP取代。socket可以指定某种方式开始传输用户的数据(比如TCP或UDP),这就是传输。传输的特点是:用户只需要关心实际需要传输的用户数据,而不用担心数据实际的发送次数、如何封装、如何确定发送正确性、出错何重发等。Windows过滤平台(Windows Filter Platform),是从Vista系统后新增的一套系统API和服务,为网络数据包过滤。
WFP(三)——编译、部署驱动文件*.sys——微软msnmntr项目
jmhIcoding
02-21 3723
通过WFP,我们可以编译得到sys驱动文件。此时需要我们把sys驱动文件部署到目标主机上,本文介绍部署的方式方法。 术语 host computer: 宿主主机,开发、编译驱动的主机 target/test computer:目标主机,安装驱动产品的主机 deploying the driver:部署过程,将宿主主机编译得到的驱动安装到目标主机的过程。 步骤 在目标主机,以管理员权限打开cmd,...
WFP过滤框架
qq_41490873的博客
09-18 2377
WFP框架图 垫片 垫片是一种特殊的内核模块,被安插在系统的网络协议栈(如TCP/IP)的不同(栈)中, 主要作用是获取网络协议栈的数据。如垫片被安插在传输,可以获取TCP/UDP等协议数据: 垫片被安插在网络,可以获取IP协议等数据。安插在不同协议的垫片,获取到的数据不同, 垫片获取到数据后,会通过内核态过滤引擎提供的分类API,把数据传递到相应的WFP中。 垫片除了能获取网络数据传递给内核态过滤引擎外,还有更重要的一个作用是把内核态过 滤引擎的过滤结果反馈给网络协议栈。比如,内核态过滤引擎
Windwos 驱动WFP
06-11
WFP (Windows Filtering Platform) 是 Windows 操作系统中的一种网络包过滤框架,它提供了一种通用的方式来处理网络流量。Windows 驱动程序可以使用 WFP API 来实现网络包过滤和处理功能。WFP 驱动程序可以通过注册自己的过滤器和来实现不同的网络包处理功能,比如防火墙、流量监测、VPN 等。需要注意的是,开发 WFP 驱动程序需要一定的驱动程序开发经验和专业知识,因为它需要处理底的网络协议和数据包结构。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值