-
等级
本版专家分:36结帖率 100% -
我用NDIS规范实现了在中间层包过滤的程序,使用NDIS-HOOK方式。NDIS-HOOK 的工作原理是直接替换 NDIS 的函数库中的函数地址,这样只要向 NDIS 的请求就会先经过我自己函数的处理,这样就非常简单,处理完转发给系统函数就可以了。调试发现从本机发送的所有数据包都会经过中间层驱动。现在在本机上装有Sygate服务器代理软件,另外一台主机通过本机共享上网连接,截包发现它通过代理出去的包没有经过中间层驱动,而是直接从本机连接Intenet的接口转发出去了。如果使用WinGate这种应用层的代理软件,共享上网时就会发现所有的包都会经过服务器的中间层驱动.不明白为何会这样,如何让Sygate转发的报文也经过中间层驱动了,我也不是很明白中间层驱动和协议栈中IP层和链路层到底是一个什么顺序关系,Sygate 的NAT转换是在什么时候进行的?展开阅读全文
-
等级
本版专家分:2025 -
不是很清楚,下面是一段有关的文字,希望有用,呵呵。当然知道sygate的机理也很重要。
NDIS Hook Driver。这是目前大多数个人防火墙所使用的方法。Hook的概念在Windows9x下非常流行,而且实现也很容易。在Windows9x下,驱动程序(VxD)通过使用Hook_Device_Service可以挂接NDIS所提供的所有服务。在Windows NT/2000下面如何实现Hook呢?有两种不同的思路:
1) 通过修改NDIS.SYS的Export Table。在Windows NT/2000下,可执行文件(包括DLL以及SYS)都是遵从PE(Portable Executable)格式的。所有向其他操作系统组件提供接口的驱动程序都有Export Table,因此只要修改NDIS.SYS的Export Table就可以实现对关键NDIS API的挂接。由于协议驱动程序在系统启动的时候会调用NdisRegisterProtocol来向系统进行协议注册,因此这种方法关键在于修改NDIS.SYS所提供的NdisRegisterProtocol/NdisDeRegisterProtocol/NdisOpenAdapter/NdisCloseAdapter/NdisSend函数的起始地址。我们知道,在用户态模式要修改PE文件格式可以用一些API来实现,而NDIS.SYS位于系统的核心内存区,因此要修改NDIS.SYS就不得不通过写驱动程序来实现,也就要求我们对PE文件格式有比较深入的了解。使用这种方法还要注意驱动程序的加载次序,显然Hook Driver必须在NDIS.SYS被加载之后,而在协议驱动程序如tcpip.sys被加载之前。另外,Windows2000还提供了系统文件保护机制,因此在修改ndis.sys还需要通过修改注册表屏蔽系统文件保护机制。
-
等级
本版专家分:36
-
谢谢。你说的问题我已经考虑到了。现在的问题是不是很清楚Sygate的工作机制,它转发的包在IP层就直接通过实际的网卡发送出去了。在NDIS-HOOK中根本就没有发现它传输的报文?是不是还需要更底层的截包?
-
等级
本版专家分:2025
-
呵呵,Sygate创始人有个邮箱:Cris2005@sina.com,用中文就行了,他人很好,不知道会不会回答你的问题,呵呵。
-
等级
本版专家分:36
-
谢谢了。
-
等级
本版专家分:2766
-
HOOK 有个先后顺序问题.如果它比你先"截获"那么他就能决定你能得到什么包!?
而且 sygate /WinGate 这种代理软件 是要做到内核驱动的,所以很可能,它在你之前截获了.
至于为什么 没经过中间层.这可能就是独门绝技了.
- NAT之windows平台实现一
这里介绍的是纯软件上,在windows平台下,利用NDIS中间驱动实现NAT。 在其他平台实现NAT,也是同样的原理, 唯一不同的是对网卡数据包的读取和写入操作是与平台相关的。 而叫人蛋疼的是,对windows 平台下的...
- NDIS截获数据包学习笔记(一)
网络驱动程序接口规范(NDIS)是微软为网络接口卡(NIC)的局域网驱动程序提供的一种标准应用程序接口(API)。NDIS 适用于服务器或工作站。NDIS 标准支持计算机通过不同的通信协议与网络相连,如:TCP/IP、IPX、...
- NDIS开发
目 录1 NDIS中间层驱动程序 21.1 NDIS中间层驱动程序(NDIS Intermediate Drivers)概述 21.2 NDIS中间层驱动程序的用途 41.3 NDIS中间层驱动程序的开发环境 42 NDIS中间层驱动程序的开发 42.1 可分页和可...
- NDIS开发[网络驱动开发] NDIS开发1
转自:... NDIS开发[网络驱动开发] NDIS开发(1) 2009-02-25 17:58:43| 分类:VPN编程 |字号 订阅 ...1 NDIS中间层驱动程序 2 ...1.1 NDIS中间层驱动程序(NDIS Inte
- 基于Windows系统下网络数据包过滤方法的分析
网络驱动接口标准(NDIS)用于windows环境下网络驱动程序的开发,NDIS提供了很多功能函数,在各种驱动程序的编写中只需要调用各种函数,NDIS负责把上下层驱动程序联系起来,实现网络数据包的上下发送与接收。...
- ecm、ppp、ndis 拨号
Modem拨号,PPP属于数据链路层协议,它使用HDLC协议格式来封装数据帧,而在数据流中如果遇到 ...NDIS拨号,Ethernet协议是通过使用不同的以太网帧的包头来区分控制信息和数据信息,一个以太网帧 的包头大小是固定的...
- NDIS中间层的驱动包截获技术教程
它横跨传输层、网络层和数据链路层,定义了网卡或网卡驱动程序与上层协议驱动程序之间的通信接口规范,屏蔽了底层物理硬件的不同,使上层的协议驱动程序可以和底层任何型号的网卡通信。NDIS为网络驱动程序创建了一个...
- NDIS6过滤驱动的编写
NDIS6是在WINDOWS VISTA及之后版本的WINDOWS引入的,这时NDIS5的HOOK方式是无法使用的,MSDN推荐的方式是使用过滤驱动,其实也可以使用Intermediate(中间层驱动),下面谈一下它们的利弊,还有一些原理性的...
- Windows防火墙之NDIS HOOK和TDI HOOK
因此,可以利用分层驱动原理[5],在TDI Client和TDI Server驱动之间加一层过滤驱动-FilterDriver.sys。对于TCP/IP协议而言,在Windows网络协议体系结构中是由Tcpip.sys驱动实现的。Tcpip.sys创建了几个设备对象,/...
- WIN7系统内核网络堆栈实现简述
了解windows平台内部网络堆栈实现架构,对于我们开发 NDIS驱动,TDI驱动,WSK驱动,WFP驱动等网络驱动更有帮助。 因为windows并不是开源系统,不像linux那样可以从源代码中详细了解网络堆栈的实现流程, 所以只能...
- 你的防火墙可靠吗
你的防火墙可靠吗 流氓软件和木马在各种防火墙和杀毒软件的“打压”之下已经开始逐步向内核“退缩”,传统的依靠查看本地打开的端口与进程的关系的方法检查非法网络访问已经不再适用,个人防火墙已经成为装机必备的...
- 关于Ndis驱动的一点个人理解
对写过驱动的一些总结:1,TDI层驱动,该层驱动位于windows kernel网络驱动的最顶层,个人觉得主要是针对连接时的redirect,filter比较好使,比如限制本地一些端口不能往外连接,限制外部的IP和PORT往里连接,只能...
- 什么是NDIS?
NDIS是Network Driver Interface Specification的简写。NDIS的主要目的就 是为NIC(网络接口卡,Netwok Interface Cards)制定出标准的API接口。MAC (介质访问控制,Media Access Controller)设备驱动封装...
- NDIS驱动程序安装总结
使用命令 snetcfg -l ../xxxx.inf -c s -i ms_xxxxx 安装NDIS驱动程序,有些系统会出现:a.第一次使用命令安装不完整;b.通过本地连接控制面板安装完整后,以后再使用命令安装又可以完整安装;的现象;解决方法:第一...
- mbim ndis ecm ncm之我的理解
ndis (Network Driver Interface Specification)网络驱动接口规范,这是一个规范,我也可以理解为标准,这个规范规定的比较宽,从物理层到应用层都有涉及,(也就是介绍中说的:横跨传输层、网络层和数据链路层) ...
- 网络数据包拦截通用技术
网络数据包拦截通用技术 作者:甘嘉平 (gjp)看到很多仁兄提供的数据包的拦截技术,其中最多的是编写IM DRIVER在NDIS中间层 对MINIPORT(网卡驱动程序)和协议驱动程序之间的数据包进行拦截。这是微软提供的一种技术 ...
- windows7以上平台 NDISFilter 网卡过滤驱动开发
by fanxiushu 2019-01-16 转载或引用请注明原始作者 这里讨论的都是基于WIN7以上平台,NDIS 6.0以上版本的网络驱动。 做个驱动的目的,是因为很早之前,我使用 TDI 和 NDIS5.1 框架的...
- WIN7开机蓝屏STOP:0x000000D1 ndis.sys文件出问题
今天同学送来一台电脑,开机蓝屏; 系统:windows7 32bit 蓝屏信息(关键信息): DRIVER_IRQL_NOT_OR_EQUAL *** STOP:0x000000D1(0x00000004,0x00000002,...*** ndis.sys -Address 8AAB95CC base at 8AA82000, Datest
- 华为ENSP配置静态NAT
实验环境:华为ENSP搭建静态NAT 设备:ENSP模拟软件、AR1220路由器、FTP服务端、FTP客户端 此次实验时跳了一个坑,无论如何操作均不能成功; 1、AR1220开启失败,根据ENSP帮助文档发现虚拟网口属性中缺失...
- 个人防火墙--中间层NDIS中间层驱动发送和接收流程
在用户态下进行网络数据包的拦截有三种方法:WinsockLayeredServiceProvider(LSP)、Windows2000包过滤接口、替换系统自带的WINSOCK动态连接库。在用户态下进行数据包拦截最致命的缺点就是只能在Winsock层次上进行,...
- WinXP NDIS.SYS蓝屏的解决办法
前些日子重装系统后,发现如BT,迅雷,PPLIVE,eMule等P2P类软件运行时经常出现BSOD(NDIS.SYS )。一开始以为是新系统的问题,后来发现不运行P2P软件时却长时间都不出现蓝屏,再重新安装硬件自带驱动也是一样。想想...
- windows7以上平台NDIS6框架的NDIS协议驱动开发
by fanxiushu 2019-01-30 转载或引用请注明原始作者。 提到NDIS协议驱动,可能比较陌生,因为毕竟用得挺少的。 但是一提到WireShark或ethereal等抓包软件,大家就不再陌生了。 这些抓...
- Windows8内核模式下开发NDIS应用-NDIS Filter讲解
在Win8系统下开发驱动程序,需要数字证书,还需要驱动签名认证。不能像XP下面那样疯狂滴耍流氓了...在开发NDIS驱动程序的时候,WDK开发包提供了一个新的框架,叫着NDIS FilterNDIS Filter是一个例子工程。假入我把WDK安
- windows wdf 驱动开发总结(9)--网络驱动开发(NDIS)
NIC1394 网卡驱动收包过程: <br />网卡的发包和收包过程 网卡也叫“网络适配器”,英文全称为“Network Interface Card”,简称“NIC”,网卡是局域网中最基本的部件之一,它是连接计算机与网络的...
- 关于解决应用层提取NDIS驱动数据包丢包的方案,通过event加共享内存实现
NDIS驱动关于解决应用层提取NDIS驱动数据包丢包的方案,通过event加共享内存实现 截获的网络封包,很多时候都需要将包的信息或者是包的内容通过win32层显示出来,很多人想到的方法是event加IOCTL,不过这样很容易...
- Windows7以上使用WFP驱动框架实现IP数据包截取(一)
By fanxiushu 2017-10-11 转载或引用请注明原始作者。 WFP(Windows Filtering Platform)驱动框架,也许很多人都不熟悉,
- 利用 NDIS 中间层驱动程序截获网络封包
(中国黑客数据库)由于互联网发展的历史原因, TCP/IP 协议及 HTTP 、 FTP 等基于 TCP/IP 协议的各种应用层协议,在协议设计之初均未考虑安全传输问题。随着互联网的发展,国际标准组织虽陆续推出了 SSL ...
- 【系统使用】解决安卓USB共享网络给Windows10异常卡顿问题
最近windows7常常出现一些莫名其妙的问题,现在windows10勉强算是比较稳定了,就切换到windows10进行编程,但是windows10一直存在一些...进入设备管理器 在开始菜单中右键进入设备管理器找到网络适配器中带“NDIS”一项
- windows xp下使用TDI+NDIS实现进程网络流量限速(设计文档)
在windows xp下实现进程网络流量限速
- 防火墙的工作原理
里,就形成了路由集成式防火墙 …… 三 ...包过滤 ” ( Packet Filtering ) “ 应用代、理 ” ( Application Proxy