ndis_hook.rar_Ndishook_ndis资源-CSDN文库

共10个文件

h：2个

c：2个

sys：1个

版权申诉

ndis

5星 · 超过95%的资源 180 浏览量 2022-09-19 20:16:25 上传评论收藏 103KB RAR 举报

《NDIS Hook技术详解》 NDIS（Network Driver Interface Specification）是Windows操作系统中网络驱动程序接口的规范，它为上层协议驱动程序提供了一个统一的接口来与底层网络硬件进行通信。NDIS Hook技术则是对NDIS接口进行拦截和修改的技术，常用于网络监控、数据包过滤等场景。本文将深入探讨NDIS Hook的基本原理和实现方法。在NDIS Hook中，我们通常会关注两个关键点：拦截NDIS函数调用和处理拦截到的调用。在提供的源代码中，如`nt_help.c`和`main.c`，开发者可能已经实现了这些功能。`nt_help.c`可能包含了对NDIS函数的挂钩代码，而`main.c`可能是主程序入口，负责初始化和管理钩子。 1. **NDIS Hook原理** NDIS Hook的核心在于替换或插入函数指针，使得当上层驱动调用NDIS函数时，实际执行的是我们自定义的函数。这通常通过在系统调用表中修改函数指针来实现。在Windows系统中，这通常涉及到内核模式编程，需要对操作系统的内部工作原理有深入理解。 2. **函数拦截** `nt_help.h`可能包含了NDIS函数原型的声明，以及自定义的处理函数。例如，如果我们要拦截`NdisSend`函数，我们会创建一个自己的`NdisSendHook`函数，然后将系统调用表中的`NdisSend`指针指向这个新函数。 3. **处理拦截调用** 在`NdisSendHook`函数中，我们可以先执行原始`NdisSend`的功能，然后添加自定义逻辑，如记录发送的数据包、修改数据包内容或者阻止特定数据包的发送。这种操作必须高效且谨慎，因为错误的处理可能会导致网络问题甚至系统崩溃。 4. **编译与调试** 文件`wdk_vc6.dsp`和`wdk_vc6.dsw`是Visual Studio 6的项目文件，用于构建和调试驱动程序。`makefile`则可能是用于非Visual Studio环境下的构建脚本。`sources`和`objchk_win7_x86`可能分别包含了源文件列表和特定平台的编译配置。 5. **图像资源与屏幕截图** `screen-shot.JPG`可能是展示了NDIS Hook运行效果的屏幕截图，对于理解和调试代码非常有帮助。 NDIS Hook技术是一种强大的工具，可以让我们深入网络通信的底层，实现数据包的深度控制。然而，由于涉及到内核级别的操作，开发和调试过程中需要特别小心，确保代码的稳定性和安全性。正确理解和运用NDIS Hook技术，可以帮助我们在网络监控、安全防护等领域开发出高效且灵活的应用。

资源推荐

资源详情

资源评论

收起资源包目录

ndis_hook.rar （10个子文件）

screen-shot.JPG 113KB

pe_image.h 6KB

wdk_vc6.dsw 537B

main.c 12KB

nt_help.h 21KB

nt_help.c 13KB

makefile 656B

wdk_vc6.dsp 4KB

objchk_win7_x86

i386

test.sys 7KB

sources 562B

#include "nt_help.h" #include "pe_image.h" typedef NTSTATUS (NTAPI * PFN_RtlGetVersion)(OUT PRTL_OSVERSIONINFOW lpVersionInformation); PVOID GetSectionHeaderFreeSpace( IN PVOID ModuleBase, IN ULONG NeedSize, IN OUT PULONG RetFreeSize ) { PIMAGE_DOS_HEADER imgModule = (PIMAGE_DOS_HEADER)ModuleBase; PIMAGE_NT_HEADERS imgNtHeader = NULL; PIMAGE_SECTION_HEADER imgSecHdr = NULL; ULONG i; ASSERT(ModuleBase && RetFreeSize); imgNtHeader = (PIMAGE_NT_HEADERS)((PBYTE)ModuleBase + imgModule->e_lfanew); imgSecHdr = (PIMAGE_SECTION_HEADER)((PBYTE)imgNtHeader + 0x18 + imgNtHeader->FileHeader.SizeOfOptionalHeader); /* //获取PE头空隙 *RetFreeSize = (ULONG)ModuleBase + imgNtHeader->OptionalHeader.SectionAlignment - (ULONG)(imgSecHdr + imgNtHeader->FileHeader.NumberOfSections); return (PVOID)(imgSecHdr + imgNtHeader->FileHeader.NumberOfSections); */ for (i=0; i<imgNtHeader->FileHeader.NumberOfSections; i++, imgSecHdr++) { ULONG freeSize = imgSecHdr->SizeOfRawData - imgSecHdr->Misc.VirtualSize; KdPrint(("free space at %s: %d free %d need\n", imgSecHdr->Name, freeSize, NeedSize)); if ((freeSize > 0) && (NeedSize <= freeSize) && (imgSecHdr->Characteristics & IMAGE_SCN_CNT_CODE)) { KdPrint(("free space at %s:%08x %d free %d need\n", imgSecHdr->Name, (PCHAR)ModuleBase + imgSecHdr->VirtualAddress + imgSecHdr->Misc.VirtualSize, freeSize, NeedSize)); *RetFreeSize = freeSize; return (PCHAR)ModuleBase + imgSecHdr->VirtualAddress + imgSecHdr->Misc.VirtualSize; } } return NULL; } // //通过搜索PE文件导出表，获取指定模块的函数地址 //注意返回EAT地址 PVOID GetModuleFunction( IN PVOID ModuleBase, IN PUCHAR FunctionName, IN ULONG Length ) { PIMAGE_DOS_HEADER imgModule = (PIMAGE_DOS_HEADER)ModuleBase; PIMAGE_OPTIONAL_HEADER imgOptHeader = NULL; PIMAGE_EXPORT_DIRECTORY imgExportDirectory = NULL; PULONG arrayOfFunctionAddresses; PULONG arrayOfFunctionNames; WORD* arrayOfFunctionOrdinals; ULONG i; ASSERT(ModuleBase && FunctionName);//MZ imgOptHeader = (PIMAGE_OPTIONAL_HEADER)((PBYTE)ModuleBase + imgModule->e_lfanew + 24); imgExportDirectory = (PIMAGE_EXPORT_DIRECTORY)((PBYTE)ModuleBase + imgOptHeader->DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress); arrayOfFunctionAddresses = (PULONG)((PBYTE)ModuleBase + imgExportDirectory->AddressOfFunctions); arrayOfFunctionNames = (PULONG)((PBYTE)ModuleBase + imgExportDirectory->AddressOfNames); arrayOfFunctionOrdinals = (WORD*)((PBYTE)ModuleBase + imgExportDirectory->AddressOfNameOrdinals); //AddressOfFunctions 函数偏移地址列表 //AddressOfNames 函数名的偏移地址列表 //AddressOfNameOrdinals 函数名对应AddressOfFunctions列表索引 for (i=0; i<imgExportDirectory->NumberOfNames; i++) { PCHAR name = (PCHAR)((PBYTE)ModuleBase + arrayOfFunctionNames[i]); ULONG index = arrayOfFunctionOrdinals[i] + imgExportDirectory->Base - 1; //KdPrint(("%s ? %s\n", name, FunctionName)); if (strncmp(name, FunctionName, Length) == 0) { return arrayOfFunctionAddresses + index; //return (PVOID)((ULONG)ModuleBase + arrayOfFunctionAddresses[index]); } } return NULL; } /* * 枚举系统进程列表 * 返回值：枚举进程分配的内存首地址【由调用者ExFreePool】 */ PVOID HelpQueryProcess( IN PWCHAR ProcessName, IN OUT PSYSTEM_PROCESS_INFORMATION* ProcessInfo ) { ULONG cbBuffer = 0x8000; PSYSTEM_PROCESS_INFORMATION sysProcessList = NULL; PVOID pBuffer = NULL; NTSTATUS rc; ASSERT(ProcessName && ProcessInfo); for(;;) { pBuffer = ExAllocatePoolWithTag(PagedPool, cbBuffer, 'hlpm'); // pBuffer为非分页内存 if (pBuffer == NULL) return FALSE; // //注意测试表明NtQuerySystemInformation直接返回STATUS_ACCESS_VIOLATION，要使用ZwQuerySystemInformation // rc = ZwQuerySystemInformation(SystemProcessInformation, pBuffer, cbBuffer, NULL); if ( rc == STATUS_INFO_LENGTH_MISMATCH){ ExFreePool(pBuffer); //缓冲区不足 cbBuffer *= 2; //直到有充足的缓冲区 continue; }else if (NT_SUCCESS(rc)) break; KdPrint(("ZwQuerySystemInformation failed %08x\n!", rc)); ExFreePool(pBuffer); return FALSE; } sysProcessList = (PSYSTEM_PROCESS_INFORMATION)pBuffer; if (sysProcessList){ PSYSTEM_PROCESS_INFORMATION processItem = sysProcessList; while (processItem->NextEntryDelta) { processItem = (PSYSTEM_PROCESS_INFORMATION)((PBYTE)processItem + processItem->NextEntryDelta); if (_wcsnicmp(ProcessName, processItem->ProcessName.Buffer, processItem->ProcessName.Length) == 0){ //KdPrint(("%wZ %d\n", &processItem->ProcessName, processItem->ProcessId)); *ProcessInfo = processItem; return pBuffer; } } ExFreePool(sysProcessList); } return NULL; } PPEB GetCurrentProcessPeb() { PROCESS_BASIC_INFORMATION pbi; NTSTATUS status; PPEB result = NULL; status = ZwQueryInformationProcess((HANDLE)-1, ProcessBasicInformation, &pbi, sizeof(PROCESS_BASIC_INFORMATION), NULL); if (NT_SUCCESS(status)) { result = pbi.PebBaseAddress; } return result; } PVOID HelpGetProcAddress( PVOID ModuleBase, PCHAR pFunctionName) { PVOID pFunctionAddress = NULL; ULONG size = 0, addr, max_name, max_func, i, ord; PIMAGE_EXPORT_DIRECTORY exports; PULONG functions, names; PSHORT ordinals; exports = (PIMAGE_EXPORT_DIRECTORY)RtlImageDirectoryEntryToData(ModuleBase, TRUE, IMAGE_DIRECTORY_ENTRY_EXPORT, &size); addr = (ULONG)exports - (ULONG)ModuleBase; functions = (PULONG)((ULONG)ModuleBase + exports->AddressOfFunctions); ordinals = (PSHORT)((ULONG)ModuleBase + exports->AddressOfNameOrdinals); names = (PULONG)((ULONG)ModuleBase + exports->AddressOfNames); max_name = exports->NumberOfNames; max_func = exports->NumberOfFunctions; for (i = 0; i < max_name; i++) { ord = ordinals[i]; if(i >= max_name || ord >= max_func) { return NULL; } if (functions[ord] < addr || functions[ord] >= addr + size) { if (!strcmp((PCHAR)ModuleBase + names[i], pFunctionName)) { pFunctionAddress = (PVOID)((PCHAR)ModuleBase + functions[ord]); break; } } } return pFunctionAddress; } // //通过NtQuerySystemInformation枚举系统模块列表 // BOOLEAN EnumSysModule(

评论收藏

内容反馈

版权申诉