IP过滤钩子驱动
文章转自王牌软件
站长推荐:NSetup一键部署软件
一键式完成美化安装包制作,自动增量升级,数据统计,数字签名。应对各种复杂场景,脚本模块化拆分,常规复杂的脚本代码,图形化设置。无需专业的研发经验,轻松完成项目部署。(www.nsetup.cn)
只回答业务咨询
站长推荐:NSetup一键部署软件
一键式完成美化安装包制作,自动增量升级,数据统计,数字签名。应对各种复杂场景,脚本模块化拆分,常规复杂的脚本代码,图形化设置。无需专业的研发经验,轻松完成项目部署。(www.nsetup.cn)
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200 201 202 203 204 205 206 207 208 209 210 211 212 213 214 215 216 217 218 219 220 221 222 223 224 225 226 227 228 229 230 231 232 233 234 235 236 237 238 239 240 241 242 243 244 245 246 247 248 249 250 251 252 253 254 255 256 257 258 259 260 261 262 263 264 265 266 267 268 269 270 271 272 273 274 275 276 277 278 279 280 281 282 283 284 285 286 287 288 289 290 291 292 293 294 295 296 297 298 299 300 301 302 303 304 305 306 307 308 309 310 311 312 313 314 315 316 317 318 319 320 321 322 323 324 325 326 327 328 329 330 331 332 333 334 335 336 337 338 339 340 341 342 343 344 345 346 |
// DrvFltIp.cpp文件 extern "C" { #include <ntddk.h> #include <ntddndis.h> #include <pfhook.h> } #include "DrvFltIp.h" #include "internal.h" // 自定义函数的声明 NTSTATUS DispatchCreateClose(PDEVICE_OBJECT pDevObj, PIRP pIrp); void DriverUnload(PDRIVER_OBJECT pDriverObj); NTSTATUS DispatchIoctl(PDEVICE_OBJECT pDevObj, PIRP pIrp); NTSTATUS AddFilterToList(CIPFilter* pFilter); void ClearFilterList(); NTSTATUS SetFilterFunction(PacketFilterExtensionPtr filterFun); PF_FORWARD_ACTION FilterPackets(unsigned char*, unsigned char*, unsigned int, unsigned int, unsigned int, IPAddr, IPAddr); // 过滤列表首地址 struct CFilterList* g_pHeader = NULL; // 驱动内部名称和符号连接名称 #define DEVICE_NAME L"\\Device\\devDrvFltIp" #define LINK_NAME L"\\??\\DrvFltIp" NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObj, PUNICODE_STRING pRegistryString) { NTSTATUS status = STATUS_SUCCESS; // 初始化各个派遣例程 pDriverObj->MajorFunction[IRP_MJ_CREATE] = DispatchCreateClose; pDriverObj->MajorFunction[IRP_MJ_CLOSE] = DispatchCreateClose; pDriverObj->MajorFunction[IRP_MJ_DEVICE_CONTROL] = DispatchIoctl; pDriverObj->DriverUnload = DriverUnload; // 创建、初始化设备对象 // 设备名称 UNICODE_STRING ustrDevName; RtlInitUnicodeString(&ustrDevName, DEVICE_NAME); // 创建设备对象 PDEVICE_OBJECT pDevObj; status = IoCreateDevice(pDriverObj, 0, &ustrDevName, FILE_DEVICE_DRVFLTIP, 0, FALSE, &pDevObj); if(!NT_SUCCESS(status)) { return status; } // 创建符号连接名称 // 符号连接名称 UNICODE_STRING ustrLinkName; RtlInitUnicodeString(&ustrLinkName, LINK_NAME); // 创建关联 status = IoCreateSymbolicLink(&ustrLinkName, &ustrDevName); if(!NT_SUCCESS(status)) { IoDeleteDevice(pDevObj); return status; } return STATUS_SUCCESS; } void DriverUnload(PDRIVER_OBJECT pDriverObj) { // 卸载过滤函数 SetFilterFunction(NULL); // 释放所有资源 ClearFilterList(); // 删除符号连接名称 UNICODE_STRING strLink; RtlInitUnicodeString(&strLink, LINK_NAME); IoDeleteSymbolicLink(&strLink); // 删除设备对象 IoDeleteDevice(pDriverObj->DeviceObject); } // 处理IRP_MJ_CREATE、IRP_MJ_CLOSE功能代码 NTSTATUS DispatchCreateClose(PDEVICE_OBJECT pDevObj, PIRP pIrp) { pIrp->IoStatus.Status = STATUS_SUCCESS; // pIrp->IoStatus.Information = 0; // 完成此请求 IoCompleteRequest(pIrp, IO_NO_INCREMENT); return STATUS_SUCCESS; } // I/O控制派遣例程 NTSTATUS DispatchIoctl(PDEVICE_OBJECT pDevObj, PIRP pIrp) { NTSTATUS status = STATUS_SUCCESS; // 取得此IRP(pIrp)的I/O堆栈指针 PIO_STACK_LOCATION pIrpStack = IoGetCurrentIrpStackLocation(pIrp); // 取得I/O控制代码 ULONG uIoControlCode = pIrpStack->Parameters.DeviceIoControl.IoControlCode; // 取得I/O缓冲区指针和它的长度 PVOID pIoBuffer = pIrp->AssociatedIrp.SystemBuffer; ULONG uInSize = pIrpStack->Parameters.DeviceIoControl.InputBufferLength; // 响应用户的命令 switch(uIoControlCode) { case START_IP_HOOK: // 开始过滤 status = SetFilterFunction(FilterPackets); break; case STOP_IP_HOOK: // 停止过滤 status = SetFilterFunction(NULL); break; case ADD_FILTER: // 添加一个过滤规则 if(uInSize == sizeof(CIPFilter)) status = AddFilterToList((CIPFilter*)pIoBuffer); else status = STATUS_INVALID_DEVICE_REQUEST; break; case CLEAR_FILTER: // 释放过滤规则列表 ClearFilterList(); break; default: status = STATUS_INVALID_DEVICE_REQUEST; break; } // 完成请求 pIrp->IoStatus.Status = status; pIrp->IoStatus.Information = 0; IoCompleteRequest(pIrp, IO_NO_INCREMENT); return status; } /////////////////////////////////////////////////////////////////// //过滤列表 // 向过滤列表中添加一个过滤规则 NTSTATUS AddFilterToList(CIPFilter* pFilter) { // 为新的过滤规则申请内存空间 CFilterList* pNew = (CFilterList*)ExAllocatePool(NonPagedPool, sizeof(CFilterList)); if(pNew == NULL) return STATUS_INSUFFICIENT_RESOURCES; // 填充这块内存 RtlCopyMemory(&pNew->ipf, pFilter, sizeof(CIPFilter)); // 连接到过滤列表中 pNew->pNext = g_pHeader; g_pHeader = pNew; return STATUS_SUCCESS; } // 清除过滤列表 void ClearFilterList() { CFilterList* pNext; // 释放过滤列表占用的所有内存 while(g_pHeader != NULL) { pNext = g_pHeader->pNext; // 释放内存 ExFreePool(g_pHeader); g_pHeader = pNext; } } //////////////////////////////////////////////////// //过滤函数 // 过滤钩子回调函数 PF_FORWARD_ACTION FilterPackets( unsigned char *PacketHeader, unsigned char *Packet, unsigned int PacketLength, unsigned int RecvInterfaceIndex, unsigned int SendInterfaceIndex, IPAddr RecvLinkNextHop, IPAddr SendLinkNextHop) { // 提取IP头 IPHeader* pIPHdr = (IPHeader*)PacketHeader; if(pIPHdr->ipProtocol == 6) // 是TCP协议? { // 提取TCP头 TCPHeader* pTCPHdr = (TCPHeader*)Packet; // 我们接受所有已经建立连接的TCP封包 if(!(pTCPHdr->flags & 0x02)) { return PF_FORWARD; } } // 与过滤规则相比较,决定采取的行动 CFilterList* pList = g_pHeader; while(pList != NULL) { // 比较协议 if(pList->ipf.protocol == 0 || pList->ipf.protocol == pIPHdr->ipProtocol) { // 查看源IP地址 if(pList->ipf.sourceIP != 0 && (pList->ipf.sourceIP & pList->ipf.sourceMask) != pIPHdr->ipSource) { pList = pList->pNext; continue; } // 查看目标IP地址 if(pList->ipf.destinationIP != 0 && (pList->ipf.destinationIP & pList->ipf.destinationMask) != pIPHdr->ipDestination) { pList = pList->pNext; continue; } // 如果是TCP封包,查看端口号 if(pIPHdr->ipProtocol == 6) { TCPHeader* pTCPHdr = (TCPHeader*)Packet; if(pList->ipf.sourcePort == 0 || pList->ipf.sourcePort == pTCPHdr->sourcePort) { if(pList->ipf.destinationPort == 0 || pList->ipf.destinationPort == pTCPHdr->destinationPort) { // 现在决定如何处理这个封包 if(pList->ipf.bDrop) return PF_DROP; else return PF_FORWARD; } } } // 如果是UDP封包,查看端口号 else if(pIPHdr->ipProtocol == 17) { UDPHeader* pUDPHdr = (UDPHeader*)Packet; if(pList->ipf.sourcePort == 0 || pList->ipf.sourcePort == pUDPHdr->sourcePort) { if(pList->ipf.destinationPort == 0 || pList->ipf.destinationPort == pUDPHdr->destinationPort) { // 现在决定如何处理这个封包 if(pList->ipf.bDrop) return PF_DROP; else return PF_FORWARD; } } } else { // 对于其它封包,我们直接处理 if(pList->ipf.bDrop) return PF_DROP; else return PF_FORWARD; } } // 比较下一个规则 pList = pList->pNext; } // 我们接受所有没有注册的封包 return PF_FORWARD; } // 注册钩子回调函数 NTSTATUS SetFilterFunction(PacketFilterExtensionPtr filterFun) { NTSTATUS status = STATUS_SUCCESS; // 取得IP过滤驱动设备对象。下面代码执行后,pDeviceObj变量将指向IP过滤驱动设备对象 PDEVICE_OBJECT pDeviceObj; PFILE_OBJECT pFileObj; // 初始化IP过滤驱动的名称 UNICODE_STRING ustrFilterDriver; RtlInitUnicodeString(&ustrFilterDriver, L"\\Device\\IPFILTERDRIVER"); // 取得设备对象指针 status = IoGetDeviceObjectPointer(&ustrFilterDriver, FILE_ALL_ACCESS, &pFileObj, &pDeviceObj); if(!NT_SUCCESS(status)) { return status; } // 使用到IP过滤驱动中设备对象的指针创建一个IRP // 填充PF_SET_EXTENSION_HOOK_INFO结构 PF_SET_EXTENSION_HOOK_INFO filterData; filterData.ExtensionPointer = filterFun; // 我们需要初始化一个事件对象。 // 构建IRP时需要使用这个事件内核对象,当IP过滤取得接受到此IRP,完成工作以后会将它置位 KEVENT event; KeInitializeEvent(&event, NotificationEvent, FALSE); // 为设备控制请求申请和构建一个IRP PIRP pIrp; IO_STATUS_BLOCK ioStatus; pIrp = IoBuildDeviceIoControlRequest(IOCTL_PF_SET_EXTENSION_POINTER, // io control code pDeviceObj, (PVOID) &filterData, sizeof(PF_SET_EXTENSION_HOOK_INFO), NULL, 0, FALSE, &event, &ioStatus); if(pIrp == NULL) { // 如果不能申请空间,返回对应的错误代码 return STATUS_INSUFFICIENT_RESOURCES; } // 请求安装钩子回调函数 // 发送此IRP到IP过滤驱动 status = IoCallDriver(pDeviceObj, pIrp); // 等待IP过滤驱动的通知 if(status == STATUS_PENDING) { KeWaitForSingleObject(&event, Executive, KernelMode, FALSE, NULL); } status = ioStatus.Status; // 清除资源 if(pFileObj != NULL) ObDereferenceObject(pFileObj); return status; } |
|
1 |
/////////////////////////////////////////////// // internal.h文件 // 过滤列表 struct CFilterList { CIPFilter ipf; // 过滤规则 CFilterList* pNext; // 指向下一个CFilterList结构 }; typedef struct IPHeader { UCHAR iphVerLen; // 版本号和头长度(各占4位) UCHAR ipTOS; // 服务类型 USHORT ipLength; // 封包总长度,即整个IP报的长度 USHORT ipID; // 封包标识,惟一标识发送的每一个数据报 USHORT ipFlags; // 标志 UCHAR ipTTL; // 生存时间,就是TTL UCHAR ipProtocol; // 协议,可能是TCP、UDP、ICMP等 USHORT ipChecksum; // 校验和 ULONG ipSource; // 源IP地址 ULONG ipDestination; // 目标IP地址 } IPPacket; typedef struct _TCPHeader { USHORT sourcePort; // 源端口号 USHORT destinationPort; // 目的端口号 ULONG sequenceNumber; // 序号 ULONG acknowledgeNumber; // 确认序号 UCHAR dataoffset; // 数据指针 UCHAR flags; // 标志 USHORT windows; // 窗口大小 USHORT checksum; // 校验和 USHORT urgentPointer; // 紧急指针 } TCPHeader; typedef struct _UDPHeader { USHORT sourcePort; // 源端口号 USHORT destinationPort; // 目的端口号 USHORT len; // 封包长度 USHORT checksum; // 校验和 } UDPHeader; |
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 |
///////////////////////////////////////////////////// // DrvFltIp.h文件 #ifndef __DRVFLTIP_H__ #define __DRVFLTIP_H__ // 自定义设备类型,在创建设备对象时使用 // 注意,自定义值的范围是32768-65535 #define FILE_DEVICE_DRVFLTIP 0x00654322 // 自定义的IO控制代码,用于区分不同的设备控制请求 // 注意,自定义值的范围是2048-4095 #define DRVFLTIP_IOCTL_INDEX 0x830 // // 定义各种设备控制代码。分别是开始过滤、停止过滤、添加过滤规则、清除过滤规则 // #define START_IP_HOOK CTL_CODE(FILE_DEVICE_DRVFLTIP, \ DRVFLTIP_IOCTL_INDEX, METHOD_BUFFERED, FILE_ANY_ACCESS) #define STOP_IP_HOOK CTL_CODE(FILE_DEVICE_DRVFLTIP, \ DRVFLTIP_IOCTL_INDEX+1, METHOD_BUFFERED, FILE_ANY_ACCESS) #define ADD_FILTER CTL_CODE(FILE_DEVICE_DRVFLTIP, \ DRVFLTIP_IOCTL_INDEX+2, METHOD_BUFFERED, FILE_WRITE_ACCESS) #define CLEAR_FILTER CTL_CODE(FILE_DEVICE_DRVFLTIP, \ DRVFLTIP_IOCTL_INDEX+3, METHOD_BUFFERED, FILE_ANY_ACCESS) // 定义过滤规则的结构 struct CIPFilter { USHORT protocol; // 使用的协议 ULONG sourceIP; // 源IP地址 ULONG destinationIP; // 目标IP地址 ULONG sourceMask; // 源地址屏蔽码 ULONG destinationMask; // 目的地址屏蔽码 USHORT sourcePort; // 源端口号 USHORT destinationPort; // 目的端口号 BOOLEAN bDrop; // 是否丢弃此封包 }; #endif // __DRVFLTIP_H__ |
此驱动代码来自一款国外的开源防火墙NetDefender的IP过滤驱动模块,国内的《windows程序设计》最后一章也有介绍, winwows 2000/XP下的包过滤防火墙就是调用此驱动来对
TCP\UDP\ICMP协议进行拦截
学习日记,兼职软件设计,软件修改,毕业设计。
本文出自 学习日记,转载时请注明出处及相应链接。
本文永久链接: https://www.softwareace.cn/?p=444
