NDIS HOOK及MINIPORT HOOK的实现

最新推荐文章于 2023-04-10 19:03:38 发布
原创 最新推荐文章于 2023-04-10 19:03:38 发布 · 1.3k 阅读 · 1
标签
#hook #system #microsoft #class #网络
#windows
本文详细介绍了在Windows XP和Win7系统中实现NDIS HOOK和MINIPORT HOOK的技术,包括获取物理网卡设备GUID的方法,以及在不同系统版本下的HOOK策略。针对XP系统,讲解了注册假协议和挂接例程的过程,而在Win7系统中,着重阐述了Send和Receive操作的HOOK点。文章还解析了NDIS相关结构体的用途,提供了实际项目中的应用经验。

[0x00]

   网上有很多讨论关于NDIS HOOK的文章,但大多只讲了WIN7之前的HOOK NDIS_OPEN_BLOCK下的例程,至于WIN7下怎么
HOOK以及如何做MINIPORT-HOOK,网络上则鲜有提及.根据前阵子的相关分析,我把NDIS HOOK总结一下,网上有一些讨论
NDIS HOOK的文章,请读者先阅读那些文章对NDIS HOOK有个基本了解.

[0x01]

    首先是获取物理网卡的设备GUID,如果只是做普通的NDIS HOOK则可以忽略此步.为什么要获取物理网卡的GUID呢,
因为系统内可能有多个MINIPORT,每个MINIPORT对应一个网卡设备,无论这个网卡是虚拟的还是物理的.
   
    所以我们要做MINIPORT HOOK的话就必须找到物理网卡对应的miniport.下面是两种获得物理网卡GUID的方法。

   方法1:通过注册表项\\REGISTRY\\MACHINE\\SOFTWARE\\Microsoft\\Windows

最低0.47元/天 解锁文章
基于Ndis Hook钩子技术开发的网络防火墙源代码
11-20
基于Ndis Hook技术开发的网络防火墙源代码
NDIS HOOK实现方法
weixin_30417487的博客
04-13 241
转载探索NDIS HOOK新的实现方法(1) NDIS HOOK是专业级防火墙使用的一种拦截技术,NDIS HOOK的重点是如何获得特定协议对应NDIS_PROTOCOL_BLOCK指针,获得了该指针,接下来就可以替换该协议所注册的收发函数,而达到拦截网络数据的目的。 获 得NDIS_PROTOCOL_BLOCK指针的方法一般是用NdisRegisterProtocol注...
探索NDIS HOOK新的实现方法(2)
04-02 804
探索NDIS HOOK新的实现方法(2)             ---INLINE HOOK实现NDIS HOOK 前面讲述了如何通过获取NDIS_PROTOCOL_BLOCK来实现NDIS HOOK,这里讲述第二种方法,那就是inline hook方法。说起inline hook,也不是什么新鲜玩意,无非是在一个函数的首部嵌入一个jmp机器指令,在该函数执行有效代码前就跳到我们的代理函数,在我
NDIS HOOK 防火墙实现关键技术
FISH 的专栏
10-16 2440
                                                                   NDIS HOOK 防火墙实现关键技术谈到网络安全不能不提到防火墙。目前国内防火墙多数是采用 TDI 技术, NDIS 可以算是较先进的技术了(如果您认为不是的话, 只能说明我落伍了, 呵呵) 网上缺少 NDIS 防火墙实现的技术细节说明.  经过2天的查找资料
Netfilter框架通过hook捕获数据包
李耀辉的博客
10-14 3000
数据包截获:Netfilter Netfilter 是由内核 2.4.x 和 2.6.x 提供的数据包截获机制,它替代了内核 2.2.x 中 使用的 ipchains、防火墙钩子和其他方法。Netfilter 也可以作为 LKM 获得。 要使用 netfilter,在内核编译时设置 Packet Filtering 选项。 可以对采用防火墙钩子机制的同类应用程序使用 netfilter 机制
NDIS WIN7 64 WINXP hook网络发包收包
ace0580的博客
12-12 269
转: 网上有很多讨论关于NDIS HOOK的文章,但大多只讲了WIN7之前的HOOK NDIS_OPEN_BLOCK下的例程,至于WIN7下怎么 HOOK以及如何做MINIPORT-HOOK,网络上则鲜有提及.根据前阵子的相关分析,我把NDIS HOOK总结一下,网上有一些讨论 NDIS HOOK的文章,请读者先阅读那些文章对NDIS HOOK有个基本了解. [0x01...
NDIS6过滤驱动的编写
CharlesPrince的专栏
01-02 5292
<br />NDIS6是在WINDOWS VISTA及之后版本的WINDOWS引入的,这时NDIS5的HOOK方式是无法使用的,MSDN推荐的方式是使用过滤驱动,其实也可以使用Intermediate(中间层驱动),下面谈一下它们的利弊,还有一些原理性的东西:<br />1.为什么NDIS6不动NDIS5的HOOK:<br />1.因为NDIS6使用了新的函数集和新的数据结构,最重要的是NET_BUFFER替代了NDIS_PACKET,原先所有的使用NDIS_PACKET的PROTOCOL或MINIPORT
miniport hook ethFilterDprIndicateReceivePacket 接收拦截时包处理问题
weixin_30649641的博客
06-08 139
XP环境: 1。研究了在my_ethFilterDprIndicateReceivePacket中丢包情况 //要想drop packet_arrays这些packet,使用miniportblock对应的ReturnPacketHandler来return //不能用ndis!ndisReturnpacket这函数。因为里面一些变量在我们现在拦截的这里还没设置好 //调用ndis!...
详解Windows 2000/XP Class/Port/Miniport驱动模型
求索
11-15 1833
对于软件复用,Microsoft Windows在用户层提供了COM(Component Object Model),其实现了二进制层级的兼容,使Windows开发进入了组件时代。COM的概念之一进程内组件,在用户态使用动态联接库作为载体。所以不管在COM之前或是之后,DLL都是Windows实现软件复用的一个最主要的途径。只是单纯的DLL并未实现COM一样的二进制兼容的目的。但对于驱动开发者而
网络数据包拦截通用技术
04-12 2772
网络数据包拦截通用技术 作者:甘嘉平 (gjp)看到很多仁兄提供的数据包的拦截技术,其中最多的是编写IM DRIVER在NDIS中间层 对MINIPORT(网卡驱动程序)和协议驱动程序之间的数据包进行拦截。这是微软提供的一种技术 但编写该过滤程序拦截程序非常的复杂,安装也很麻烦。 本人简单的介绍一种更有效的基于NDIS包拦截技术。 大家都知道,NDIS协议驱动程序是通过填写一张NDIS_PROTO
发一个支持任意地点hook的类(包含驱动hook和应用层hook)
u013594602的专栏
02-07 1923
这是以前练习写驱动类的一个产物,  有点早了,很简单. 写这个类也是方便自己绕过某些驱动的保护钩子.  当然这个也只支持x86, 没有做x64的拓展. 因为只是方便自己不需要每次都copy一大堆代码; 如果需要x64的拓展的,可以参考detours 或者是 EasyHook.   比较好的是EasyHook提供了驱动的hook; 貌似关于驱动写类论坛上比较少, 对于驱动,大家更倾向于直接
NDIS Hook的框架代码
热门推荐
峥嵘岁月
03-23 2万+
////Protocol Wrapper Version 1.05//Author: gjp//email: gjpland@netease.com//#include "NdisHook.h"#include "HookRule.h"#pragma pack(push)#pragma pack(1)typedef struct _HOOK_CONTEXT_STRUCT{ //runtime
Windows内核原理与实现NDIS(网络驱动程序接口规范)
首席技术总监的专栏
12-15 4391
文章摘录自《Windows内核原理与实现》一书。 在Windows网络栈中,网络协议与网络适配器是分离的,协议驱动程序并不针对特定的网络适配器而设计,然而,当协议驱动程序正真运行时,它必须通过一个网络适配器才能发送和接收数据。协议驱动程序通过统一的接口与网络适配器驱动程序进行通信,此接口即为 Microsoft 和 3COM 于 1989 年联手开发的NDIS(Network Driver I...
探索NDIS HOOK新的实现方法
jia_xiaoxin的专栏
08-02 787
NDIS HOOK是专业级防火墙使用的一种拦截技术,NDIS HOOK的重点是如何获得特定协议对应NDIS_PROTOCOL_BLOCK指针,获得了该指针,接下来就可以替换该协议所注册的收发函数,而达到拦截网络数据的目的。获得NDIS_PROTOCOL_BLOCK指针的方法一般是用NdisRegisterProtocol注册一个新的协议,所获得的协议句柄实际上就是一个NDIS_PROTOCOL
【转帖】DriverNetwork miniport驱动学习
floweronwarmbed的专栏
11-03 3391
DriverNetwork miniport驱动学习(1)NDIS Miniport驱动框架介绍 NDIS miniport adapter 类继承了 KNdisMiniAdapter 类 并且声明了处理程序所需的signatures,例如Initialize(), Halt()和 Reset()。它们可以是虚拟的或者非虚拟的,或是派生类内联成员。对于这些处理程序的命名和DDK很接近。例如
Clarity 3D Layout
m0_53280471的博客
04-10 5070
Clarity 3D Layout Clarity 3D layout是3D 全波电磁场模型提取工具,它可以导入已经设计好的PCB文件也可以直接在Clarity 3D layout创建版图进行3D 全波电磁场模型提取。
NDIS HOOK的几种方法
namelcx的专栏
12-08 1872
NDIS HOOK大概有三种方法 1,Inline HOOK NDIS 的分发函数 2,修改 ndis.sys的导出表 3,注册一个假协议驱动,并通过协议链表找到tcpip节点,修改它的分发函数
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值