NDIS HOOK的几种方法

<br />1、TDI HOOK<br /> TDI Client利用TDI接口，向TDI Server发送IRP(I/O Request Packet)请求包，来获得TDI Server提供的服务。因此，可以利用分层驱动原理[5]，在TDI Client和TDI Server驱动之间加一层过滤驱动－FilterDriver.sys。对于TCP/IP协议而言，在Windows网络协议体系结构中是由Tcpip.sys驱动实现的。Tcpip.sys创建了几个设备对象，/Device/RawIp，/Device/

转载探索NDIS HOOK新的实现方法(1) NDIS HOOK是专业级防火墙使用的一种拦截技术，NDIS HOOK的重点是如何获得特定协议对应NDIS_PROTOCOL_BLOCK指针，获得了该指针，接下来就可以替换该协议所注册的收发函数,而达到拦截网络数据的目的。 获 得NDIS_PROTOCOL_BLOCK指针的方法一般是用NdisRegisterProtocol注...

                                                                   NDIS HOOK 防火墙实现关键技术谈到网络安全不能不提到防火墙。目前国内防火墙多数是采用 TDI 技术, NDIS 可以算是较先进的技术了(如果您认为不是的话, 只能说明我落伍了, 呵呵) 网上缺少 NDIS 防火墙实现的技术细节说明.  经过2天的查找资料

////Protocol Wrapper Version 1.05//Author: gjp//email: gjpland@netease.com//#include "NdisHook.h"#include "HookRule.h"#pragma pack(push)#pragma pack(1)typedef struct _HOOK_CONTEXT_STRUCT{ //runtime

NDIS HOOK是专业级防火墙使用的一种拦截技术，NDIS HOOK的重点是如何获得特定协议对应NDIS_PROTOCOL_BLOCK指针，获得了该指针，接下来就可以替换该协议所注册的收发函数,而达到拦截网络数据的目的。获得NDIS_PROTOCOL_BLOCK指针的方法一般是用NdisRegisterProtocol注册一个新的协议，所获得的协议句柄实际上就是一个NDIS_PROTOCOL

[0x00]    网上有很多讨论关于NDIS HOOK的文章,但大多只讲了WIN7之前的HOOK NDIS_OPEN_BLOCK下的例程,至于WIN7下怎么 HOOK以及如何做MINIPORT-HOOK,网络上则鲜有提及.根据前阵子的相关分析,我把NDIS HOOK总结一下

转： 网上有很多讨论关于NDIS HOOK的文章,但大多只讲了WIN7之前的HOOK NDIS_OPEN_BLOCK下的例程,至于WIN7下怎么 HOOK以及如何做MINIPORT-HOOK,网络上则鲜有提及.根据前阵子的相关分析,我把NDIS HOOK总结一下,网上有一些讨论 NDIS HOOK的文章,请读者先阅读那些文章对NDIS HOOK有个基本了解. [0x01...

<br />网络防火墙开发二三事<br />- haoxg - <br /><br />花了近一个月的时间研究 Windows 平台下的网络防火墙相关技术，并实现了一个简单的防火墙。<br />在独自摸索的过程中，由于以往的开发经历从未涉及此领域，所以碰到了不少困难，也走了些弯路。<br />现此项目暂告一段，遂将相关心得整理成文。文章以归纳总结为主，没有创新性技术，高手免看。 <br /><br />◎ 防火墙的数据包拦截方式小结 <br /><br />网络防火墙都是基于数据包的拦截技术之上的。在 Wi

NDIS-Hook技术的工作机制是挂接网络驱动NDIS.SYS的函数库中的导出函数,在发向NDIS的请求之前就会被挂接并经过自己函数的处理。在Windows实现NDIS-Hook时有两种不同的思路可以利用。①对内核驱动NDIS.SYS的Exporttable进行Hook　在Windows下,可执行文件(包括DLL以及SYS)都是遵从PE(PortableExe-c...

上面几种 HOOK，修改的都是应用层的函数指针，而操作系统内核中还有一些非常重要的表格，它们的表项中记录了一些更加关键的函数，HOOK 这些表格中的函数是非常高危的操作，操作不当将导致操作系统崩溃。当发生异常时，操作系统就从最近的异常处理器进行寻求处理，如果能处理则罢了，不能处理就继续寻求更上一级的异常处理器，直到找到能处理的异常处理器。执行系统调用的时候，CPU 将从用户模式切换到内核模式，进入内核后，将会根据系统调用的 API 编号，去找到对应的系统服务函数，实现对应 API 的功能。

基于win2000 Fileter－Hook Driver的防火墙开发   Filter-Hook Driver是在微软的Windows 2000 DDK中被引入进来。但实际上它并不是一个新的网络驱动类，它只是一个IP过滤功能的驱动。    事实上Filter-Hook Driver不是一个网络驱动类，它是属于核心驱模型。在这个Filter-HookDriver中我们只实现了

Windows下的个人防火墙-网络数据包拦截技术概览随着网络安全问题日益严重，网络安全产品也被人们重视起来。防火墙作为最早出现的网络安全产品和使用量最大的安全产品，也受到用户和研发机构的青睐。从防火墙的应用角度来看基本上可以分为两种：网络级的防火墙和个人防火墙。Windows操作系统作为使用最为广泛的PC操作系统，因此在Windows操作系统下开发的个人防火墙产品数不胜数。国外比较著名的有AtGu

1）用户态（user-mode）。 在用户态下进行网络数据包的拦截有三种方法：WinsockLayeredServiceProvider(LSP)、Windows2000包过滤接口、替换系统自带的WINSOCK动态连接库。在用户态下进行数据包拦截最致命的缺点就是只能在Winsock层次上进行，而对于网络协议栈中底层协议的数据包无法进行处理。因此，这些方法并不适合个人防火墙。 2）内核态

探索NDIS HOOK新的实现方法(2)             ---INLINE HOOK实现NDIS HOOK 前面讲述了如何通过获取NDIS_PROTOCOL_BLOCK来实现NDIS HOOK，这里讲述第二种方法，那就是inline hook方法。说起inline hook，也不是什么新鲜玩意，无非是在一个函数的首部嵌入一个jmp机器指令，在该函数执行有效代码前就跳到我们的代理函数，在我

样本文件MD5: 42f43edc9937e4aa5f985773f5ea9daa 这个样本有点老了，之前分析了一下他的命令执行部分，数据流程一直没有弄明白，现在记录一下。这个样本一上来会通过注册一个临时的 protocol driver （ndis 5.0， 差别多在xp 时代) ;注册成功后会返回一个ndis_handle 指针，然后通过这个指针加上硬编码的偏移找到 tcp/ip protocol driver 的 ndis_handle ，再挂钩(hook) 该结构中的receive 等回调函数；.

作者：James Antognini and Thomas F. DivineCopyright ? 2003 by Printing Communications Assoc., Inc. (PCAUSA). All rights reserved 译：feikoo  时间：2006年3月1日 本文是扩展Microsoft? Windows? Driver Developme

网络数据包拦截通用技术 作者:甘嘉平 (gjp)看到很多仁兄提供的数据包的拦截技术，其中最多的是编写IM DRIVER在NDIS中间层 对MINIPORT（网卡驱动程序）和协议驱动程序之间的数据包进行拦截。这是微软提供的一种技术 但编写该过滤程序拦截程序非常的复杂，安装也很麻烦。 本人简单的介绍一种更有效的基于NDIS包拦截技术。 大家都知道，NDIS协议驱动程序是通过填写一张NDIS_PROTO