NDIS6.0 如何拦截数据包-CSDN论坛

NDIS6.0 如何拦截数据包

VC/MFC > 网络编程

收藏回复

[问题点数：100分，结帖人xiaoc1026]

⋅关于内核创建进程初始化失败的问题 ⋅NDIS6.0 如何拦截数据包 ⋅【分享|开源 -_-】HTTPSERVER 更多帖子 关注私信空间博客 见习学术士 等级 本版专家分：16011 结帖率 100%





VOID

FilterReceiveNetBufferLists(

        IN  NDIS_HANDLE         FilterModuleContext,

        IN  PNET_BUFFER_LIST    NetBufferLists,

        IN  NDIS_PORT_NUMBER    PortNumber,

        IN  ULONG               NumberOfNetBufferLists,

        IN  ULONG               ReceiveFlags

         )

/*++



Routine Description:



    FilerReceiveNetBufferLists is an optional function for filter drivers. 

    If provided, this function process receive indications made by underlying 

    NIC or lower level filter drivers. This function  can also be called as a 

    result of loopback. If this handler is NULL, NDIS will skip calling this

    filter when processing a receive indication and will call the next upper 

    filter in the stack with a non-NULL FitlerReceiveNetBufferLists handler 

    or the procotol driver. A filter that doesn't provide a 

    FilterReceiveNetBufferLists handler can not provided a 

    FilterReturnNetBufferLists handler or a initiate a receive indication on 

    its own.



Arguments:



    FilterModuleContext: Pointer to our filter context area.

    NetBufferLists: A linked list of NetBufferLists allocated by underlying driver each containing

                    one NetBuffer.

    PortNumber: Port on which the Receive is indicated

    ReceiveFlags: Flags associated with the Receive such as whether the filter

                  can pend the receive

   



Return Value:



    None

 

--*/

{



    PMS_FILTER          pFilter = (PMS_FILTER)FilterModuleContext;

    BOOLEAN             DispatchLevel;

    ULONG               Ref;

    BOOLEAN               bFalse = FALSE;

	PNET_BUFFER_LIST	CurrNbl, NextNbl;

	PNET_BUFFER			pCurrentNetBuffer;

	PVOID				pPacketBuffer = NULL;

	ULONG				ulPacketLength = 0;

	IPRESULT			result = enumIP_Unknow;



#if DBG

    ULONG               ReturnFlags;

#endif

    

    DEBUGP(DL_TRACE, ("===>ReceiveNetBufferList: NetBufferLists = %p.\n", NetBufferLists));

    do

    {



        DispatchLevel = NDIS_TEST_RECEIVE_AT_DISPATCH_LEVEL(ReceiveFlags);

#if DBG

        FILTER_ACQUIRE_LOCK(&pFilter->Lock, DispatchLevel);

 

        if (pFilter->State != FilterRunning)

        {

            FILTER_RELEASE_LOCK(&pFilter->Lock, DispatchLevel);



            if (NDIS_TEST_RECEIVE_CAN_PEND(ReceiveFlags))

            {   

                ReturnFlags = 0;

                if (NDIS_TEST_RECEIVE_AT_DISPATCH_LEVEL(ReceiveFlags))

                {

                    NDIS_SET_RETURN_FLAG(ReturnFlags, NDIS_RETURN_FLAGS_DISPATCH_LEVEL);

                }

                

                NdisFReturnNetBufferLists(pFilter->FilterHandle, NetBufferLists, ReturnFlags);

            }

            break;

        }

        FILTER_RELEASE_LOCK(&pFilter->Lock, DispatchLevel);

#endif



        ASSERT(NumberOfNetBufferLists >= 1);



		FILTER_ACQUIRE_LOCK(&pFilter->Lock, DispatchLevel);  

		CurrNbl = NetBufferLists;  

		while (CurrNbl && result != enumIP_Block)  

		{

			for(pCurrentNetBuffer =  NET_BUFFER_LIST_FIRST_NB(CurrNbl);  

				pCurrentNetBuffer != NULL;  

				pCurrentNetBuffer =  NET_BUFFER_NEXT_NB(pCurrentNetBuffer))   

			{  

				pPacketBuffer = NULL;

				ReadNetBuffer(pCurrentNetBuffer, &pPacketBuffer, ulPacketLength);



				if( pPacketBuffer )

				{

					if( g_ndisFirewall != NULL  )

					{

						result = g_ndisFirewall->Filter( pPacketBuffer, ulPacketLength, enumPD_Recieve );



						if( result == enumIP_Block )

						{

							break;

						}

					}



					non_paged_pool::__DeallocateSystemMemory( pPacketBuffer );

					pPacketBuffer = NULL;

				}

			}  

			CurrNbl= NET_BUFFER_LIST_NEXT_NBL(CurrNbl);  	

		}  

		FILTER_RELEASE_LOCK(&pFilter->Lock, DispatchLevel);  



		if( result == enumIP_Block )

		{		

			NDIS_SET_RECEIVE_FLAG(ReceiveFlags, NDIS_RECEIVE_FLAGS_RESOURCES);

			NdisFReturnNetBufferLists(pFilter->FilterHandle, NetBufferLists, ReceiveFlags);

			break;

		}



            

        // 

        // If necessary, queue the NetBufferList in a local structure for later processing.

        // We may need to travel the list, some of them may not need post processing

        //

        if (pFilter->TrackReceives)

        {

            FILTER_ACQUIRE_LOCK(&pFilter->Lock, DispatchLevel);

            pFilter->OutstandingRcvs += NumberOfNetBufferLists;

            Ref = pFilter->OutstandingRcvs;

            

            FILTER_LOG_RCV_REF(1, pFilter, NetBufferLists, Ref);

            FILTER_RELEASE_LOCK(&pFilter->Lock, DispatchLevel);

        }



        NdisFIndicateReceiveNetBufferLists(

                   pFilter->FilterHandle,

                   NetBufferLists,

                   PortNumber, 

                   NumberOfNetBufferLists,

                   ReceiveFlags);





        if (NDIS_TEST_RECEIVE_CANNOT_PEND(ReceiveFlags) && 

            pFilter->TrackReceives)

        {

            FILTER_ACQUIRE_LOCK(&pFilter->Lock, DispatchLevel);

            pFilter->OutstandingRcvs -= NumberOfNetBufferLists;

            Ref = pFilter->OutstandingRcvs;

            FILTER_LOG_RCV_REF(2, pFilter, NetBufferLists, Ref);

            FILTER_RELEASE_LOCK(&pFilter->Lock, DispatchLevel);

        }



    } while (bFalse);

    

    DEBUGP(DL_TRACE, ("<===ReceiveNetBufferList: Flags = %8x.\n", ReceiveFlags));

    

}

这样整个拦截 NBL 好像有问题，一些正常的SOCKET连接都超时了。
怎么样能对单个NB 拦截呢？

2013-11-18 11:42:10

点赞只看楼主引用举报楼主收起

展开阅读全文

⋅windbg疯了 ⋅windbg疯了 ⋅《Windows设备驱动程序WDF开发》这本书怎么样？值得买吗？ 更多帖子 关注私信空间博客 paigle 等级 本版专家分：100: MSDN上是这样说的：
Discard the buffer.
If NDIS cleared the NDIS_RECEIVE_FLAGS_RESOURCES flag, call the NdisFReturnNetBufferLists function to discard the buffer.
If NDIS set the NDIS_RECEIVE_FLAGS_RESOURCES flag, take no action and return from FilterReceiveNetBufferLists to discard the buffer.
-------
即，要丢弃数据包
如果 ReceiveFlags 无 NDIS_RECEIVE_FLAGS_RESOURCES 标记，调用 NdisFReturnNetBufferLists 丢弃
如果 ReceiveFlags 有 NDIS_RECEIVE_FLAGS_RESOURCES 标记，直接从 FilterReceiveNetBufferLists return 即可
-------
实际上，这个sample已经有示例了：
FILTER_ACQUIRE_LOCK(&pFilter->Lock, DispatchLevel);
if (pFilter->State != FilterRunning)
{
    FILTER_RELEASE_LOCK(&pFilter->Lock, DispatchLevel);
    // 需要丢弃数据包
    if (NDIS_TEST_RECEIVE_CAN_PEND(ReceiveFlags))
    {   // ReceiveFlags 无 NDIS_RECEIVE_FLAGS_RESOURCES 标记，调用NdisFReturnNetBufferLists()
        ReturnFlags = 0;
        if (NDIS_TEST_RECEIVE_AT_DISPATCH_LEVEL(ReceiveFlags))
        {
            NDIS_SET_RETURN_FLAG(ReturnFlags, NDIS_RETURN_FLAGS_DISPATCH_LEVEL);
        }
        NdisFReturnNetBufferLists(pFilter->FilterHandle, NetBufferLists, ReturnFlags);
    }
    else
    {
        // ReceiveFlags 有 NDIS_RECEIVE_FLAGS_RESOURCES 标记，不做任何事，直接后面 break后return即可
    }
    break;
}
        FILTER_RELEASE_LOCK(&pFilter->Lock, DispatchLevel);

2013-11-21 08:53:46

点赞只看TA 引用举报 #1得分 100

⋅关于内核创建进程初始化失败的问题 ⋅NDIS6.0 如何拦截数据包 ⋅【分享|开源 -_-】HTTPSERVER 更多帖子 关注私信空间博客 见习学术士 等级 本版专家分：16011: 引用 1 楼 paigle 的回复:
MSDN上是这样说的：
Discard the buffer.
If NDIS cleared the NDIS_RECEIVE_FLAGS_RESOURCES flag, call the NdisFReturnNetBufferLists function to discard the buffer.
If NDIS set the NDIS_RECEIVE_FLAGS_RESOURCES flag, take no action and return from FilterReceiveNetBufferLists to discard the buffer.
-------
即，要丢弃数据包
如果 ReceiveFlags 无 NDIS_RECEIVE_FLAGS_RESOURCES 标记，调用 NdisFReturnNetBufferLists 丢弃
如果 ReceiveFlags 有 NDIS_RECEIVE_FLAGS_RESOURCES 标记，直接从 FilterReceiveNetBufferLists return 即可
-------
实际上，这个sample已经有示例了：
FILTER_ACQUIRE_LOCK(&pFilter->Lock, DispatchLevel);
if (pFilter->State != FilterRunning)
{
    FILTER_RELEASE_LOCK(&pFilter->Lock, DispatchLevel);
    // 需要丢弃数据包
    if (NDIS_TEST_RECEIVE_CAN_PEND(ReceiveFlags))
    {   // ReceiveFlags 无 NDIS_RECEIVE_FLAGS_RESOURCES 标记，调用NdisFReturnNetBufferLists()
        ReturnFlags = 0;
        if (NDIS_TEST_RECEIVE_AT_DISPATCH_LEVEL(ReceiveFlags))
        {
            NDIS_SET_RETURN_FLAG(ReturnFlags, NDIS_RETURN_FLAGS_DISPATCH_LEVEL);
        }
        NdisFReturnNetBufferLists(pFilter->FilterHandle, NetBufferLists, ReturnFlags);
    }
    else
    {
        // ReceiveFlags 有 NDIS_RECEIVE_FLAGS_RESOURCES 标记，不做任何事，直接后面 break后return即可
    }
    break;
}
        FILTER_RELEASE_LOCK(&pFilter->Lock, DispatchLevel);

解决办法是：分别为需要拦截和放行的NB 创建NBL，然后对应处理NBL

2013-11-21 09:26:26

点赞只看TA 引用举报 #2得分 0

⋅windbg疯了 ⋅windbg疯了 ⋅《Windows设备驱动程序WDF开发》这本书怎么样？值得买吗？ 更多帖子 关注私信空间博客 paigle 等级 本版专家分：100: 引用 2 楼 xiaoc1026 的回复:
Quote: 引用 1 楼 paigle 的回复:

MSDN上是这样说的：
Discard the buffer.
If NDIS cleared the NDIS_RECEIVE_FLAGS_RESOURCES flag, call the NdisFReturnNetBufferLists function to discard the buffer.
If NDIS set the NDIS_RECEIVE_FLAGS_RESOURCES flag, take no action and return from FilterReceiveNetBufferLists to discard the buffer.
-------
即，要丢弃数据包
如果 ReceiveFlags 无 NDIS_RECEIVE_FLAGS_RESOURCES 标记，调用 NdisFReturnNetBufferLists 丢弃
如果 ReceiveFlags 有 NDIS_RECEIVE_FLAGS_RESOURCES 标记，直接从 FilterReceiveNetBufferLists return 即可
-------
实际上，这个sample已经有示例了：
FILTER_ACQUIRE_LOCK(&pFilter->Lock, DispatchLevel);
if (pFilter->State != FilterRunning)
{
    FILTER_RELEASE_LOCK(&pFilter->Lock, DispatchLevel);
    // 需要丢弃数据包
    if (NDIS_TEST_RECEIVE_CAN_PEND(ReceiveFlags))
    {   // ReceiveFlags 无 NDIS_RECEIVE_FLAGS_RESOURCES 标记，调用NdisFReturnNetBufferLists()
        ReturnFlags = 0;
        if (NDIS_TEST_RECEIVE_AT_DISPATCH_LEVEL(ReceiveFlags))
        {
            NDIS_SET_RETURN_FLAG(ReturnFlags, NDIS_RETURN_FLAGS_DISPATCH_LEVEL);
        }
        NdisFReturnNetBufferLists(pFilter->FilterHandle, NetBufferLists, ReturnFlags);
    }
    else
    {
        // ReceiveFlags 有 NDIS_RECEIVE_FLAGS_RESOURCES 标记，不做任何事，直接后面 break后return即可
    }
    break;
}
        FILTER_RELEASE_LOCK(&pFilter->Lock, DispatchLevel);

解决办法是：分别为需要拦截和放行的NB 创建NBL，然后对应处理NBL

给帮我给个示例么？

2013-11-21 12:25:15

点赞只看TA 引用举报 #3得分 0

收起

收藏回复

见习学术士

等级：

关注私信 TA的帖子

windows网络防火墙开发二三事: 网络防火墙开发二三事 - haoxg - <br />花了近一个月的时间研究 Windows 平台... <br />◎ 防火墙的数据包拦截方式小结 <br />网络防火墙都是基于数据包的拦截技术之上的。在 Wi

windows7以上平台 NDISFilter 网卡过滤驱动开发: by fanxiushu 2019-01-16 转载或引用请注明原始作者这里讨论的都是基于WIN7以上平台，NDIS 6.0以上版本的网络驱动。做个驱动的目的，是因为很早之前，我使用 TDI 和 NDIS5.1 框架的...

Windows下底层RAW数据包发送实战: 　所谓“底层数据包”指的是在“运行”于数据链路层的数据包，简单的说就是“以太网帧”，而我们常用的Socket只能发送“运行”在传输层的TCP、UDP等包，这些传输层数据包已经能满足绝大部分需求，但是有些时候还是...

网络防火墙开发二三事: 网络防火墙开发二三事 - haoxg - 花了近一个月的时间研究 Windows 平台下的网络防火墙相关技术，并实现了一个简单的防火墙。...◎ 防火墙的数据包拦截方式小结网络防火墙都是基于数据包的拦截技术之上的。在 W

网络防火墙开发二三事转: 花了近一个月的时间研究 Windows 平台下的网络防火墙相关技术，并实现了一个简单的...◎ 防火墙的数据包拦截方式小结网络防火墙都是基于数据包的拦截技术之上的。在 Windows 下，数据包的拦截方式有很多种...

NDIS6.0 如何拦截数据包

NDIS6.0实现过滤数据，并向双网卡发送: 过滤驱动如何实现向A B双网卡同时发包，并使两路报文的MAC地址都为A网卡MAC地址

ndis6.0 NetBufferSend: FilterSendNetBufferListsComplete...NDIS calls the FilterSendNetBufferListsComplete function to complete a send request that a filter driver started by calling the NdisFSendNetBufferLists function.

ndis6.0 NetBufferSend相关函数与数据结构: FilterSendNetBufferListsComplete： NDIS calls the FilterSendNetBufferListsComplete function to complete a send request that a filter driver

NDIS 6.0 Filter Driver 开发资料- 01: 2019独角兽企业重金招聘Python工程师标准>>> ...

windows7以上平台NDIS6框架的NDIS协议驱动开发: 提到NDIS协议驱动，可能比较陌生，因为毕竟用得挺少的。但是一提到WireShark或ethereal等抓包软件，大家就不再陌生了。这些抓包软件在windows平台大都使用的是winpcap接口库，winpcap应该也不陌生。至少在我大学...

利用 NDIS 中间层驱动程序截获网络封包: （中国黑客数据库）由于互联网发展的历史原因， TCP/IP 协议及 HTTP 、 FTP 等基于 TCP/IP 协议的各种应用层协议，在协议设计之初均未考虑安全传输问题。随着互联网的发展，国际标准组织虽陆续推出了 SSL ...

windows下wireshark本地回路抓包问题: 心血来潮，想用wireshark抓取本地回路的测试包，结果发现怎么都抓不到127.0.0.1的tcp数据包，不管怎么看，都没有127.0.0.1的数据包。呕血弄了一早晨，发现如果是tcp客户端向别的IP通信wireshark都能正常截获，如果是...

NDIS开发: 目录1 NDIS中间层驱动程序 21.1 NDIS中间层驱动程序(NDIS Intermediate Drivers)概述 21.2 NDIS中间层驱动程序的用途 41.3 NDIS中间层驱动程序的开发环境 42 NDIS中间层驱动程序的开发 42.1 可分页和可...

NDIS学习笔记二——（模拟丢包）: 今天本来想发篇正式点的BLOG，没想到没有保存住，以后... 其中，最上层是一个NDIS Protocol Driver，它向上提供一个Transport Driver Interface(TDI)，向下通过NDIS接口与下面的NDIS中间层的上边界交互，NDIS中间...

WINCE6.0+S3C6410下的DM9000A驱动: ********************************LoongEmbedded************************作者：LoongEmbedded(kandi)时间：2011.05.26类别：WINCE驱动开发********************************LoongEmbedded************************ ...

NDIS Filter Drivers指南: NDIS Filter Drivers 译者序本文是根据DDK中相关章节翻译，本人英语水有限文中难免有翻译及写的不当之处，如果有任何问题可以通LZIOG@163.com邮件联系和交流。 1 介绍NDIS Filter Drivers ...

NDIS网络驱动程序学习: NDIS网络驱动程序学习（一）关于网络编程，大家用的比较多的就是SOCKET。其中呢，SOCKET分TCP,UDP,原始套接字。当然，TCP,UDP套接字是大家用的最多的，也是最常见的。也是学起来最简单的。而微软向来...

Wireshark之本地回环抓包: 目录 1. 场景描述 ...因为发往本机的数据包是通过回环地址的，即：数据包不会通过真实的网络接口发送，因此我们需要通过设置路由规则来让本来发到虚拟网络接口的数据包发送到真实网络接口即可。...

NDIS开发[网络驱动开发] NDIS开发1: 1.1 NDIS中间层驱动程序(NDIS Intermediate Drivers)概述 2 1.2 NDIS中间层驱动程序的用途 4 1.3 NDIS中间层驱动程序的开发环境 4 2 NDIS中间层驱动程序的开发 4 2.1 可分页和可丢弃代码 4 2.2 共享...

基于NDIS Filter 抓包: NDIS 6.0中有了一个新框架，号称比NDIS IMD更牛B。开始关注这个东西是因为卡巴的防火墙取个名字叫Kaspersky Anti-Virus NDIS Filter ，又听说WDK中才有新框架，但是卡巴老早就在用了，就觉得卡巴真牛。（后来看...

windows wdf 驱动开发总结(9)--网络驱动开发(NDIS): 此篇文章来自Internet，写的挺不错的，在这里转贴过来。 NIC1394 网卡驱动收包过程: <br />网卡的发包和收包过程网卡也叫“网络适配器”，英文全称为“Network Interface Card”，简称“NIC”...

Windows下底层数据包发送实战: 　所谓“底层数据包”指的是在“运行”于数据链路层的数据包，简单的说就是“以太网帧”，而我们常用的Socket只能发送“运行”在传输层的TCP、UDP等包，这些传输层数据包已经能满足绝大部分需求，但是有些时候还是...

Ndis开发: 目录1 NDIS中间层驱动程序 21.1 NDIS中间层驱动程序(NDIS Intermediate Drivers)概述 21.2 NDIS中间层驱动程序的用途 41.3 NDIS中间层驱动程序的开发环境 42 NDIS中间层驱动程序的开发 42.1 可分页和可...

【转帖】ndis开发: NDIS开发目录1 NDIS中间层驱动程序 21.1 NDIS中间层驱动程序(NDIS Intermediate Drivers)概述 21.2 NDIS中间层驱动程序的用途 41.3 NDIS中间层驱动程序的开发环境 42 NDIS中间层驱动程序的开发 42.1 可...

NDIS: 1NDIS中间层驱动程序21.1NDIS中间层驱动程序(NDIS Intermediate Drivers)概述21.2NDIS中间层驱动程序的用途41.3NDIS中间层驱动程序的开发环境42NDIS中间层驱动程序的开发42.1可分页和可丢弃代码42.2共享资源的访问...

[转]NDIS开发[网络驱动开发]: NDIS开发目录 1NDIS中间层驱动程序2 1.1NDIS中间层驱动程序(NDIS Intermediate Drivers)概述2 1.2NDIS中间层驱动程序的用途4 1.3NDIS中间层驱动程序的开发环境4 2NDIS中间层驱动程序的开发4 2.1可...

NDIS 中间层驱动开发: 1 NDIS中间层驱动程序1.1 NDIS中间层驱动程序(NDIS Intermediate Drivers)概述微软Windows网络驱动程序接口标准（NDIS 4.0）和Windows NT 4.0（SP3）引入了一种新的NDIS驱动程序，它可以嵌在NDIS 传输驱动程序TDI...

Android开发精典案例60个【源码】: 60个Android开发精典案例，好东西 - 给大家分享60个Android开发的精典案例，包含任务监听、设备适配，游戏框架搭建，特效实现，多点触控，网络协议，游戏关卡设置等内容。特别是做游戏开发的朋友值得研究。喜欢就拿走吧！

C语言游戏代码大全: 双人贪吃蛇，别踩白方块，玫瑰花，矿井逃生等多种C语言游戏代码等你来实践！

相关热词 c#线程池类 c#如何遍历容器 c#16进制加法 c#事件订 c# linq xml c# udp 多个客户端 c# 程序应注意事项 c# json 接口开发 c# 按行txt c#怎么扫条形码