Windows驱动_WFP之四WFP代码基本流程的剖析

最新推荐文章于 2020-09-18 22:51:03 发布
VIP文章 最新推荐文章于 2020-09-18 22:51:03 发布
阅读量1.1w 收藏 7
点赞数
分类专栏: Windows驱动_WFP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/z18_28_19/article/details/12979297
版权

        总说程序员是孤独的,因为,大部分的时间都在和机器打交道。大部分的时间都在自言自语。我的内心需要足够的强大。这种强大时建立的自信的基础上的。而自信又是建立在实力基础上的。实力又是建立在积累的基础上。积累又是建立在时间的基础上。所以归根结底,就是,需要花费更多的时间。第二,需要有足够的兴趣爱好。这两点对于现在的我来说,都有。既然,自己选择了这条路,就应该义无反顾的走下去,坚持的走下去。孤独,我不怕,困难,我也不怕,永远向上的动力,爱好,对知识的渴望,支持者我。相信自己,相信明天。


      今天实际看一下,WFP的Callout驱动的代码。先从DriverEntry开始:


1,在DriverEntry需要创建驱动对象和设备对象,
   
    1.1  由于不是PNP设备,需要设置创建驱动对象的标志为config.DriverInitFlags |= WdfDriverInitNonPnpDriver.
    1.2  调用WdfDriverCreate创建驱动对象。
    1.3  调用WdfControlDeviceInitAllocate通过驱动对象创建 WDFDEVICE_INIT结构体。
    1.4  调用WdfDeviceInitSetDeviceType设置设备类型为FILE_DEVICE_NETWORK.
    1.5  调用WdfDeviceInitSetCharacteristics设置设备的特性为FILE_DEVICE_SECURE_OPEN和FILE_AUTOGENERATED_DEVICE_NAME.
    1.6  调用WdfDeviceCreate创建设备对象。
    1.7  调用WdfControlFinishInitializing设置设备的初始化状态为完成。
    1.8  调用FwpsInjectionHandleCreate创建一个检测的句柄。并设置在哪里完成检查。通过在转发层,网络层,流层,传输层。
    1.9  调用WdfDeviceWdmGetDeviceObject将框架设备对象转换为设备对象的指针。
    1.10 调用FwpmEngineOpen打开一个和过滤引擎的会话,这个函数会返回一个过滤引擎的句柄。
    1.11 调用FwpmTransactionBegin在当前的会话下,开始一个明确的传输。
    1.12 调用FwpmSubLayerAdd函数玩系统中增加一个子层。
   
          DWORD WINAPI FwpmSubLayerAdd0(
    _In_      HANDLE engineHandle,
    _In_      const FWPM_SUBLAYER0 *subLayer,
    _In_opt_  PSECURITY_DESCRIPTOR sd
      );


      这里我们主要来看第二个参数,FWPM_SUBLAYER0这个结构体。
      
      typedef struct FWPM_SUBLAYER0_ {
    GUID               subLayerKey;
    FWPM_DISPLAY_DATA0 displayData;
    UINT16             flags;
    GUID               *providerKey;
    FWP_BYTE_BLOB      providerData;
    UINT16             weight;
    } FWPM_SUBLAYER0;
    
    这里,我们主要看第一个GUID,后面的需要在例子后分析。这个可以定义的GUID.
    
    DEFINE_GUID(
    DD_PROXY_SUBLAYER,
    0x0104fd7e,
    0xc825,
    0x414e,
    0x94, 0xc9, 0xf0, 0xd5, 0x25, 0xbb, 0xc1, 0x69
    );
    
       DDProxySubLayer.subLayerKey = DD_PROXY_SUBLAYER;
       DDProxySubLayer.displayData.name = L"Datagram-Data Proxy Sub-Layer";
       DDProxySubLayer.displayData.description = 
       L"Sub-Layer for use by Datagram-Data Proxy callouts";
       DDProxySubLayer.flags = 0;
       DDProxySubLayer.weight = FWP_EMPTY; // auto-weight.;
       
    1.13  调用FwpsCalloutRegister注册一个callout:
          NTSTATUS NTAPI FwpsCalloutRegister0(
      _Inout_    void *deviceObject,
      _In_       const FWPS_CALLOUT0 *callout,
      _Out_opt_  UINT32 *calloutId
    );
    这里主要是第二个参数的设置:
    
    typedef struct FWPS_CALLOUT0_ {
        GUID                                 calloutKey;
    UINT32                              flags;
    FWPS_CALLOUT_CLASSIFY_FN0           classifyFn;
    FWPS_CALLOUT_NOTIFY_FN0             notifyFn;
    FWPS_CALLOUT_FLOW_DELETE_NOTIFY_FN0 flowDeleteFn;
    } FWPS_CALLOUT0;
    
    这里的calloutKey是一个GUID值,我们可以定义。classifyFn为驱动分类的函数入口。notifyFn为通知消息的函数入口。flowDeleteFn为流程删除的函数入口。
    
    1.14  调用FwpmCalloutAdd,向过滤引擎增加一个callout.
   
    NTSTATUS NTAPI FwpmCalloutAdd0(
    _In_       HANDLE engineHandle,
    _In_       const FWPM_CALLOUT0 *callout,
    _In_opt_   PSECURITY_DESCRIPTOR sd,
    _Out_opt_  UINT32 *id
    );
    
    这里还是看第二个参数,FWPM_CALLOUT0.
    
    typedef struct FWPM_CALLOUT0_ {
    GUID               calloutKey;
    FWPM_DISPLAY_DATA0 displayData;
    UINT32             flags;
    GUID               *providerKey;
    FWP_BYTE_BLOB      providerData;
    GUID               applicableLayer;
    UINT32             calloutId;
    } FWPM_CALLOUT0;
    
    所以我们看到,这里我们有两个CALLOUT了,一个是FWPS_CALLOUT0,一个是FWPM_CALLOUT0,FWPS_CALLOUT0是给驱动用的,所以这里将其CALLOUT跟设备对象进行关联,但是后面还有个FWPM_CALLOUT0,这个就是跟过滤引擎进行交互的。再看其实这两个CALLOUT的GUID值是一样的,所以这样就进行了关联。两个CALLOUT相互关联,又相互独立,FWPM_CALLOUT0,负责和过滤引擎相关的操作。FWPS_CALLOUT0负责和驱动相关本身的操作。
这样,从驱动本身的驱动对象,设备对象和过滤引擎中的过滤层和CALLOUT进行联系上了。
  
    1.15  调用FwpmFilterAdd增加一个过滤对象到系统中。
   
          DWORD WINAPI FwpmFilterAdd0(
    _In_       HANDLE engineHandle,
    _In_       const FWPM_FILTER0 *filter,
    _In_opt_   SECURITY_DESCRIPTOR sd,
    _Out_opt_  UINT64 *id
      );
      
      这里还是第二个参数,const FWPM_FILTER0 *filter,非常复杂的结构,这个是精髓,必须好好看。
      
      typedef struct FWPM_FILTER0_ {
    GUID                   filterKey;
    FWPM_DISPLAY_DATA0     displayData;
    UINT32                 flags;
    GUID                   *providerKey;
    FWP_BYTE_BLOB          providerData;
    GUID                   layerKey;
    GUID                   subLayerKey;
    FWP_VALUE0             weight;
    UINT32                 numFilterConditions;
    FWPM_FILTER_CONDITION0 *filterCondition;
    FWPM_ACTION0           action;
    union {
      UINT64 rawContext;
      GUID   providerContextKey;
    };
    GUID                   *reserved;
    UINT64                 filterId;
    FWP_VALUE0             effectiveWeight;
    } FWPM_FILTER0;


    我们先把,结构体中包含的结构,进行展开。
    
    typedef struct FWPM_DISPLAY_DATA0_ {
      wchar_t *name;
      wchar_t *description;
    } FWPM_DISPLAY_DATA0;
    
    typedef struct FWP_BYTE_BLOB_ {
      UINT32 size;
      UINT8  *data;
    } FWP_BYTE_BLOB;
    
    关于providerKey代表的是WFP内部定义的一些GUID.
    
    typedef struct FWP_VALUE0_ {
    
      FWP_DATA_TYPE type;
      union {
      ;  // case(FWP_EMPTY)
 

最低0.47元/天 解锁文章
Z18_28_19
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
SuperDriver_防火墙_windowsdriver_firewall_wfp
09-11
WFP网络驱动防火墙源码,可以拿去参考
Windows过滤驱动 WFP代码基本流程剖析 bypass前期准备
sway913的博客
05-12 2085
今天实际看一下,WFP的Callout驱动代码。先从DriverEntry开始: 1,在DriverEntry需要创建驱动对象和设备对象, 1.1 由于不是PNP设备,需要设置创建驱动对象的标志为config.DriverInitFlags |= WdfDriverInitNonPnpDriver. 1.2 调用WdfDriverCreate创建驱动对象。 1.3 调用WdfControlDeviceInitAllocate通过驱动对象创建 WDFDEVICE_IN...
wfp网络过滤框架总结(一)
研究源码的最底层,只持有正确的仓位
01-15 8989
By feivirus 2013-11-24   一。基本术语定义 callout 为扩展wfp性能提供的一个功能,由一系列call function和一个guid key组成,wfp内置了几个callouts。用户可以通过callout drivers自己添加callout。 callout driver 实现一个或者多个callouts 的内核驱动,这个驱动通过向filter engi...
WFP过滤框架
qq_41490873的博客
09-18 2205
WFP框架图 垫片 垫片是一种特殊的内核模块,被安插在系统的网络协议栈(如TCP/IP)的不同层(栈)中, 主要作用是获取网络协议栈的数据。如垫片被安插在传输层,可以获取TCP/UDP等协议数据: 垫片被安插在网络层,可以获取IP协议等数据。安插在不同协议层的垫片,获取到的数据不同, 垫片获取到数据后,会通过内核态过滤引擎提供的分类API,把数据传递到相应的WFP分层中。 垫片除了能获取网络数据传递给内核态过滤引擎外,还有更重要的一个作用是把内核态过 滤引擎的过滤结果反馈给网络协议栈。比如,内核态过滤引擎
WFP 原理
jimk1983的专栏
10-19 6766
(WIN7 32位开发驱动: X86的纯净版的KEY: HTXFV-FH8YX-VCY69-JJGBK-7R6XP) 数据流处理: (入站和出站都是一样) 1. 一个包进入到了协议栈 2. 协议栈找到并发现一个shim(垫片),应该就是很多的sublayer注册的地方。 3. 该shim(垫片)调用该特定的sublayer层注册的Classfication分类进行处理。
WinPcap-NDIS-WFP-Drivers-master_NDISWFP_ndis_wfp_wfp驱动_WFPNDIS_源
10-03
winpcap ndis和wfp驱动代码
代码.rar_WFP流量转发_wfp_流量监控_流量监控系统_网络监控系统
07-14
WFP网络流量监控系统
wfp_wfp_
09-29
wfp使用文档,包含创建和使用,中文ppt
wfp.rar_wfp
09-20
这个是编译原理的实验~~实验名称为自动机是大学三年级的实验
WFP单实例应用程序示例
12-24
单实例应用程序示例 单实例应用程序示例 单实例应用程序示例
Windows驱动_WFP之三Callout驱动的操作
热门推荐
Z18_28_19的专栏
10-20 1万+
还是没最终下那个决定,也许自己真的没有做大事的魄力,或者根本就做不成大事。做大事者,最忌,犹豫不决,婆婆妈妈,拖泥带水。但是,我有那么多的牵绊,我不得不考虑。其实,我心里已经做了决定,现在只是时间的问题。现在,心里的决定还是没有动摇的,这个我确信不疑的。所以,接下来的时间,我要好好准备。WFP差不多了,要开始到文件系统的minifilter,有时间的话,还要开始网络IO,还有javascript。
window filter platform (wfp)修改TCP数据包的方法
lxf20054658的专栏
12-28 9848
问题描述:使用WFP重定向了TCP链接到本地localhost后,为了能够告诉应用层原始链接的地址和端口,需要修改数据包,即在三次握手后插入一个自定义包。在实现这个小小功能时,遇到了不少问题,走了很多弯路,希望在此记录一下,以备不时之需,也希望能够对有需要的朋友有所帮忙,因为WFP驱动基本没有中文资料,所有的资料和问题都需要亲自到MSDN找,也是大费周折。 很显然,TCP的重定向,参考了MSDN
WFP开发学习笔记
心碎瞬间的博客
12-13 5340
通过WFP获取、修改、放行、拦截数据
Windows驱动设备对象中的Flags
苞米地里捉小鸡的博客
06-11 338
Flgas:此域是一个32位的无符号整型。每一个位有具体的含义,其主要位如表所示 其中比较重要的是读写操作有BUFFER和DIRECT方式,根据自己需要二选一。
WFP笔记
kernweak的博客
07-05 2756
特点 WFP系统已经有数据过滤引擎的防火墙,没有规则,编写用户层的程序给WFP引擎设置规则,编写核心态的callout驱动处理WFP抓到的网络数据包做深度处理。比如加解密压缩解压缩之类在需要写驱动WFP分为 Layers:把规则分为若干组,GUID表示,子层https://docs.microsoft.com/zh-cn/windows/win32/fwp/basic-operati...
Windwos 驱动WFP基本流程代码
最新发布
06-11
WFP 驱动程序的基本流程代码如下: ```c #include <ntddk.h> #include <wdf.h> #include <fwpmk.h> #include <fwpvi.h> #define WFP_DRIVER_TAG 'wfpd' DRIVER_INITIALIZE DriverEntry; EVT_WDF_DRIVER_DEVICE_ADD WfpEvtDeviceAdd; EVT_WDF_OBJECT_CONTEXT_CLEANUP WfpEvtDriverContextCleanup; typedef struct _WFP_DRIVER_CONTEXT { HANDLE engineHandle; UINT32 calloutId; } WFP_DRIVER_CONTEXT, *PWFP_DRIVER_CONTEXT; WDF_DECLARE_CONTEXT_TYPE_WITH_NAME(WFP_DRIVER_CONTEXT, WfpGetDriverContext) NTSTATUS DriverEntry( _In_ PDRIVER_OBJECT DriverObject, _In_ PUNICODE_STRING RegistryPath ) { NTSTATUS status; WDF_DRIVER_CONFIG config; WDF_DRIVER_CONFIG_INIT(&config, WdfEvtDriverDeviceAdd); config.DriverPoolTag = WFP_DRIVER_TAG; status = WdfDriverCreate(DriverObject, RegistryPath, WDF_NO_OBJECT_ATTRIBUTES, &config, WDF_NO_HANDLE); if (!NT_SUCCESS(status)) { KdPrint(("WdfDriverCreate failed with status 0x%x\n", status)); } return status; } NTSTATUS WfpEvtDeviceAdd( _In_ WDFDRIVER Driver, _Inout_ PWDFDEVICE_INIT DeviceInit ) { NTSTATUS status; WDFDEVICE device; PWFP_DRIVER_CONTEXT driverContext; HANDLE engineHandle; FWP_BYTE_BLOB providerBlob; FWPM_SESSION session; FWPM_CALLOUT callout; FWPM_DISPLAY_DATA displayData; UINT32 calloutId; FWPM_FILTER filter; FWPM_FILTER_CONDITION filterConditions[1]; UNICODE_STRING filterName; UNREFERENCED_PARAMETER(Driver); KdPrint(("WfpEvtDeviceAdd called\n")); status = WdfDeviceCreate(&DeviceInit, WDF_NO_OBJECT_ATTRIBUTES, &device); if (!NT_SUCCESS(status)) { KdPrint(("WdfDeviceCreate failed with status 0x%x\n", status)); return status; } driverContext = WfpGetDriverContext(WdfObjectGetDriver(device)); status = FwpmEngineOpen0(NULL, RPC_C_AUTHN_WINNT, NULL, NULL, &engineHandle); if (!NT_SUCCESS(status)) { KdPrint(("FwpmEngineOpen0 failed with status 0x%x\n", status)); return status; } providerBlob.size = sizeof(GUID); providerBlob.data = (BYTE*)&GUID_WFP_DRIVER; RtlZeroMemory(&session, sizeof(FWPM_SESSION)); session.flags = FWPM_SESSION_FLAG_DYNAMIC; RtlZeroMemory(&callout, sizeof(FWPM_CALLOUT)); callout.displayData.name = L"WFP Callout"; callout.displayData.description = L"Callout for WFP driver"; callout.providerKey = providerBlob; callout.applicableLayer = FWPM_LAYER_ALE_AUTH_CONNECT_V4; callout.flags = FWPM_CALLOUT_FLAG_ALLOW_MID_STREAM_INSPECTION; callout.calloutKey = GUID_WFP_CALLOUT; status = FwpmCalloutAdd0(engineHandle, &callout, &session, &calloutId); if (!NT_SUCCESS(status)) { KdPrint(("FwpmCalloutAdd0 failed with status 0x%x\n", status)); FwpmEngineClose0(engineHandle); return status; } RtlZeroMemory(&filter, sizeof(FWPM_FILTER)); RtlInitUnicodeString(&filterName, L"WFP Filter"); filter.displayData.name = filterName; filter.layerKey = FWPM_LAYER_ALE_AUTH_CONNECT_V4; filter.action.type = FWP_ACTION_CALLOUT_TERMINATING; filter.action.calloutKey = GUID_WFP_CALLOUT; filter.filterCondition = filterConditions; filter.numFilterConditions = 1; filterConditions[0].fieldKey = FWPM_CONDITION_IP_REMOTE_ADDRESS; filterConditions[0].matchType = FWP_MATCH_EQUAL; filterConditions[0].conditionValue.type = FWP_BYTE_ARRAY16_TYPE; filterConditions[0].conditionValue.byteArray16[0] = 192; filterConditions[0].conditionValue.byteArray16[1] = 168; filterConditions[0].conditionValue.byteArray16[2] = 0; filterConditions[0].conditionValue.byteArray16[3] = 1; status = FwpmFilterAdd0(engineHandle, &filter, &session, &filter.filterId); if (!NT_SUCCESS(status)) { KdPrint(("FwpmFilterAdd0 failed with status 0x%x\n", status)); FwpmCalloutDeleteByKey0(engineHandle, &GUID_WFP_CALLOUT); FwpmEngineClose0(engineHandle); return status; } driverContext->engineHandle = engineHandle; driverContext->calloutId = calloutId; return status; } VOID WfpEvtDriverContextCleanup( _In_ WDFOBJECT DriverObject ) { PWFP_DRIVER_CONTEXT driverContext; KdPrint(("WfpEvtDriverContextCleanup called\n")); driverContext = WfpGetDriverContext(DriverObject); FwpmFilterDeleteById0(driverContext->engineHandle, driverContext->calloutId); FwpmCalloutDeleteByKey0(driverContext->engineHandle, &GUID_WFP_CALLOUT); FwpmEngineClose0(driverContext->engineHandle); } ``` 以上代码是一个简单的 WFP 驱动程序,它实现了一个基于 IP 地址的过滤器,只允许指定的 IP 地址进行连接。在 `DriverEntry` 函数中创建了 WDF 驱动程序对象,并指定了设备添加回调函数 `WfpEvtDeviceAdd`。在 `WfpEvtDeviceAdd` 函数中创建了 WDF 设备对象,并初始化了 WFP 引擎、WFP 回调函数、WFP 过滤器等。在 `WfpEvtDriverContextCleanup` 函数中清理 WFP 引擎和 WFP 对象。需要注意的是,以上代码仅供参考,具体实现需要根据实际需求进行修改。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值