首页 > 学院 > 开发设计 > 正文

WFP Note 20170304

2019-11-06 07:46:14
字体:
来源:转载
供稿:网友

先说需求,我想知道指定PRocessID 和ProcessPath ,并且能得出对应的进程进出的数据。

这样就需要建立两个CallOuts驱动,一个Established v4层,另一个Stream v4层,第一个是用来获取进程ID和进程Path,

还有数据包包头信息(ip,prot,direction)。第二个是用来获取数据包(数据包实际数据大小,数据包内部具体信息)

首先建立了一个数据结构FLOW_DATA,用来存储Estabished Layer的数据。

因为肯定有很多条Estabished layer信息,所以建立list entry链表连起来。

typedef struct _FLOW_DATA{    LIST_ENTRY  listEntry;    UINT64      flowHandle;    UINT64      flowContext;    UINT64      calloutId;    ULONG       localAddressV4;    USHORT      localPort;    USHORT      ipProto;    ULONG       remoteAddressV4;    USHORT      remotePort;    WCHAR*      processPath;    UINT64       processID;    BOOLEAN     deleting;} FLOW_DATA;要将进程与传输数据Connect上,先看一个函数:NTSTATUS NTAPI  FwpsFlowAssociateContext0(    IN UINT64  flowId,    IN UINT16  layerId,    IN UINT32  calloutId,    IN UINT64  flowContext    );flowId: inMetaValues->flowHandle(Established Layer的Classify函数中)layerId: 要连接的Layer(例如:FWPS_LAYER_STREAM_V4)calloutId: Stream layer的CallOut IDflowContext: 这个也就是建立的FLOW_DATA对象,用来存储Established layer所读出来的信息(进程ID,进程路径,ip...)因为我要做一个WFP进程监控驱动,所以就需要FwpsFlowAssociateContext函数来建立Established layer和Stream Layer的Association,所以用FLOW_DATA数据最后copy写的Established layer的Calssify函数,供参考:VOID NTAPI Established_ClassifyFn_V4(    IN const FWPS_INCOMING_VALUES  *inFixedValues,IN const FWPS_INCOMING_METADATA_VALUES  *inMetaValues,    IN OUT VOID  *layerData,IN OPTIONAL const void  *classifyContext,IN const FWPS_FILTER1  *filter,IN UINT64  flowContext,    OUT FWPS_CLASSIFY_OUT  *classifyOut){    KdPrint(("Wfp_Established_ClassifyFn_V4/n"));    //存储基本包头信息    Word    wDirection = 0;    WORD    wRemotePort = 0;    WORD    wSrcPort = 0;    WORD    wProtocol = 0;    ULONG    ulSrcIPAddress = 0;    ULONG    ulRemoteIPAddress = 0;    UINT64    proID;    FWP_BYTE_BLOB *proPath = NULL;    ULONG    Length = 0;    FLOW_DATA *FlowContext = NULL;    NTSTATUS    Status = STATUS_SUCCESS;    FlowContext = ExAllocatePoolWithTag(NonPagedPool,sizeof(FLOW_DATA),'FC');    do{        if (!FWPS_IS_METADATA_FIELD_PRESENT(inMetaValues, FWPS_METADATA_FIELD_PROCESS_PATH)){            Status = STATUS_NOT_FOUND;            break;           }        if (!(classifyOut->rights & FWPS_RIGHT_ACTION_WRITE))            return;        //获得进程路径        proPath = inMetaValues->processPath;        FlowContext->processPath = ExAllocatePoolWithTag(NonPagedPool,proPath->size,'pp');        memcpy(FlowContext->processPath, proPath->data, proPath->size);        //获得进程ID        proID = inMetaValues->processId;        FlowContext->processID = proID;        //wDirection表示数据包的方向,取值为    //FWP_DIRECTION_INBOUND/FWP_DIRECTION_OUTBOUND        wDirection = inFixedValues->incomingValue[FWPS_FIELD_ALE_FLOW_ESTABLISHED_V4_DIRECTION].value.int8;        //wSrcPort表示本地端口        FlowContext->localPort = inFixedValues->incomingValue[FWPS_FIELD_ALE_FLOW_ESTABLISHED_V4_IP_LOCAL_PORT].value.uint16;        //wRemotePort表示远端端口        FlowContext->remotePort = inFixedValues->incomingValue[FWPS_FIELD_ALE_FLOW_ESTABLISHED_V4_IP_REMOTE_PORT].value.uint16;        //ulSrcIPAddress 表示源IP        FlowContext->localAddressV4 = inFixedValues->incomingValue[FWPS_FIELD_ALE_FLOW_ESTABLISHED_V4_IP_LOCAL_ADDRESS].value.uint32;        //ulRemoteIPAddress 表示远端IP        FlowContext->remoteAddressV4= inFixedValues->incomingValue[FWPS_FIELD_ALE_FLOW_ESTABLISHED_V4_IP_REMOTE_ADDRESS].value.uint32;        //wProtocol表示网络协议,可以取值是IPPROTO_ICMP/IPPROTO_UDP/IPPROTO_TCP        wProtocol = inFixedValues->incomingValue[FWPS_FIELD_ALE_FLOW_ESTABLISHED_V4_IP_PROTOCOL].value.uint8;        if (wDirection == FWP_DIRECTION_INBOUND){            KdPrint(("---IN BOUND/n"));        }        else if (wDirection == FWP_DIRECTION_OUTBOUND){            KdPrint(("---OUT BOUND/n"));        }        KdPrint(("ProcessID: %d/n", FlowContext->processID));        KdPrint(("Process Path: %ws/n",FlowContext->processPath));        KdPrint(("--SrcProt: %d/n",FlowContext->localPort));        KdPrint(("--RemoteProt: %d/n",FlowContext->remotePort));        UINT8 * srcIp = (UINT8 *)&(FlowContext->localAddressV4);        KdPrint(("--SrcIp: %d,%d,%d,%d/n", srcIp[3],srcIp[2],srcIp[1],srcIp[0]));        UINT8 * remIp = (UINT8 *)&(FlowContext->remoteAddressV4);        KdPrint(("--RemoteIP: %d,%d,%d,%d/n",remIp[3],remIp[2],remIp[1],remIp[0]));        //Establish layer Connect Stream layer        UINT64 FlowHandle = inMetaValues->flowHandle;        FlowContext->flowHandle = inMetaValues->flowHandle;        Status = FwpsFlowAssociateContext(FlowHandle,FWPS_LAYER_STREAM_V4,g_uFwPSDataCallOutId,(UINT64)FlowContext);        if (!NT_SUCCESS(Status))            classifyOut->actionType = FWP_ACTION_CONTINUE;        //默认"允许"(PERMIT)

        classifyOut->actionType = FWP_ACTION_PERMIT;

    } while (FALSE);    //clear FWPS_RIGHT_ACTION_WRITE Tag    if (filter->flags & FWPS_FILTER_FLAG_CLEAR_ACTION_RIGHT)        classifyOut->rights &= ~FWPS_RIGHT_ACTION_WRITE;    return;

}

参考文章:

http://bbs.pediy.com/thread-173871.htm

http://bbs.pediy.com/thread-212152.htm

上一篇:生产-消费者问题

下一篇:C#获取本地IP地址

发表评论 共有条评论
用户名: 密码:
验证码: 匿名发表
学习交流
更多

索泰发布一款GTX 1070 Mini迷你版本:小机

索泰发布一款GTX 1070 Mini迷你版本:小机箱大爱...
热门图片
更多
猜你喜欢的新闻
猜你喜欢的关注

新闻热点

荣耀总裁赵明乌镇演讲:荣耀首款5G手机V30下月发布
2019-10-23 09:17:05
搜狐张朝阳:回归媒体是搜狐重新崛起的关键
2019-10-21 09:20:02
华为轮值董事长郭平:虚拟技术创造现实价值
2019-10-21 09:00:12
滴滴英文服务上线两周年 用户已超200万
2019-09-26 08:57:12
华为推出全球至快AI训练集群Atlas900
2019-09-25 08:46:36
马斯克:特斯拉正组建中国技术团队
2019-09-25 08:15:43

疑难解答

图片精选

网友关注

关于本站 - 网上投稿 - 商务合作 - 隐私政策 - 网站地图
Copyright © 2008 - 2019 VEVB.COM. All Rights Reserved.武林网 版权所有