[原创]TDI防火墙框架-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]TDI防火墙框架

发表于: 2012-11-11 16:50 20402

[原创]TDI防火墙框架

cppcoffee

2012-11-11 16:50

20402

出于个人爱好想写一个防火墙，利用业余时间来完善这份代码，当实现了TDI防火墙的整体框架的时候发现TDI驱动居然无法捕获到ICMP封包（如果想捕获ICMP封包还必须用别的办法，比如HOOK某个NDIS的发包接口），发现这种情况觉得没有再继续写下去的必要了。。现在将该驱动源码放出来供大家参考学习，希望对一部分人有帮助

话说回来：拦截TCP、UDP、RawIp还是很好用的。
参考了部分科莫多防火墙的代码：）

这个驱动参考了tdi_fw源码和ReactOS。代码在WDK 7600.16385.1成功编译，并能够在XP SP3下运行正常。

备注：附件中有一份科莫多防火墙TDI驱动的逆向IDB文件哦：）

TDI的资料请看：http://bbs.pediy.com/showthread.php?t=146050

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

上传的附件：

root_fw.rar （295.42kb，582次下载）

收藏・45

免费・6

支持

最新回复 (24)
komawangs 雪币： 1262 活跃值： (1048) 能力值： ( LV3，RANK：30 ) 在线值：发帖 8 回帖 54 粉丝 3 关注私信	komawangs 2 楼先收藏了，学习 2012-11-11 16:54 0
aliu 雪币： 235 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 61 粉丝 0 关注私信	aliu 3 楼顶下 2012-11-11 17:16 0
ultrajob 雪币： 14 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 34 粉丝 0 关注私信	ultrajob 4 楼自己做了个Afd Filter . 业余时间不容易啊, 为了ICMP还要动NDIS划不来.我也是这么想的. LZ可以联系我. 我给你发份LICOM的内核库.来试试所有功能由上层处理.哈哈 2012-11-11 17:41 0
kxzjchen 雪币： 190 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 470 粉丝 0 关注私信	kxzjchen 5 楼看起来不错，mark.......以后看 2012-11-11 19:00 0
hrpirip 雪币： 55 活跃值： (519) 能力值： ( LV6，RANK：80 ) 在线值：发帖 48 回帖 407 粉丝 2 关注私信	hrpirip 1 6 楼反过来就叫IDT 2012-11-11 20:48 0
gezz 雪币： 88 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 186 粉丝 0 关注私信	gezz 7 楼光棍节礼物么？ 2012-11-11 23:44 0
viphack 雪币： 219 活跃值： (783) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 8 楼 mark~~ 2012-11-12 08:27 0
ouyangtian 雪币： 130 活跃值： (66) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 168 粉丝 0 关注私信	ouyangtian 9 楼 nice，多谢楼主了 2012-11-12 15:41 0
蓝色妖女雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 149 粉丝 0 关注私信	蓝色妖女 10 楼 nice 学习一下牛X的东西 2012-11-12 22:09 0
yijun8354 雪币： 1919 活跃值： (901) 能力值： ( LV9，RANK：490 ) 在线值：发帖 22 回帖 784 粉丝 1 关注私信	yijun8354 12 11 楼收藏备用 2012-11-12 23:24 0
PEYlxZ 雪币： 159 活跃值： (40) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 123 粉丝 0 关注私信	PEYlxZ 12 楼先down下来收起来~ 2012-11-13 09:22 0
ultrajob 雪币： 14 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 34 粉丝 0 关注私信	ultrajob 13 楼最近折腾AFD的动态卸载.. 翻了下LZ的UNLOAD部分. 没有做IRP的完成调用计数之类的. 2012-11-13 09:41 0
iforgiven 雪币： 80 活跃值： (72) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 109 粉丝 0 关注私信	iforgiven 14 楼收藏。 2012-11-13 10:02 0
wangzesen 雪币： 870 活跃值： (1426) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 61 粉丝 0 关注私信	wangzesen 15 楼 ida是哪个版本的，为嘛已打不开，ida6.1和5.5的都试过了，打不开.... 2012-11-13 10:17 0
cppcoffee 雪币： 248 活跃值： (188) 能力值： ( LV12，RANK：300 ) 在线值：发帖 11 回帖 51 粉丝 3 关注私信	cppcoffee 6 16 楼用的是IDA 6.1 贴一张刚刚的截图上传的附件：未命名.jpg （129.38kb，8次下载） 2012-11-13 11:28 0
cppcoffee 雪币： 248 活跃值： (188) 能力值： ( LV12，RANK：300 ) 在线值：发帖 11 回帖 51 粉丝 3 关注私信	cppcoffee 6 17 楼兄台请看代码 #ifndef DBG DriverObject->DriverUnload = NULL; #else DriverObject->DriverUnload = DriverUnload; #endif 当要发布驱动的时候是木有Unload的，也不需要Unload，Unload这是用来自己卸载方便、调试方便用的，时下流行的防火墙运行的生命周期是在系统启动到结束，不用去考虑完成例程的计数问题，这样做能够减少很多不必要的代码和耦合关联你会看到时下很多防火墙都木有Unload，很多防火墙卸载的时候都询问你是否重启计算机，你懂的 2012-11-13 12:38 0
hellopen 雪币： 506 活跃值： (318) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 99 粉丝 0 关注私信	hellopen 18 楼支持，，，楼主好人 2012-11-14 10:45 0
wonderhill 雪币： 22 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 21 粉丝 0 关注私信	wonderhill 19 楼 mark 2012-11-14 21:56 0
zhujian 雪币： 1254 活跃值： (735) 能力值： ( LV6，RANK：90 ) 在线值：发帖 11 回帖 255 粉丝 1 关注私信	zhujian 2 20 楼收藏，谢谢分享 2012-11-14 22:08 0
linhanshi 雪币： 97697 活跃值： (200799) 能力值： (RANK：10 ) 在线值：发帖 9249 回帖 27943 粉丝 451 关注私信	linhanshi 21 楼 Thanks for share. 上传的附件： cool.gif （0.75kb，1次下载） 2012-11-15 16:59 0
kmsmxpro 雪币： 123 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 82 粉丝 0 关注私信	kmsmxpro 22 楼先收藏了，学习 2012-11-20 09:14 0
seaching 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 8 粉丝 0 关注私信	seaching 23 楼 // 备注: 拦截就返回 STATUS_FILE_CLOSED NTSTATUS TdiDispSend( IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp ) 返回 STATUS_FILE_CLOSED 就蓝屏？是什么原因呀？ 2013-8-15 17:04 0
seaching 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 8 粉丝 0 关注私信	seaching 24 楼 ConnectEventHandler ，连入的Event一直没有响应？ 2013-8-15 18:19 0
asdli 雪币： 81 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 161 粉丝 0 关注私信	asdli 25 楼收藏了，学习 2013-8-16 00:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

cppcoffee

发帖

回帖

300

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (24)
komawangs 雪币： 1262 活跃值： (1048) 能力值： ( LV3，RANK：30 ) 在线值：发帖 8 回帖 54 粉丝 3 关注私信	komawangs 2 楼先收藏了，学习 2012-11-11 16:54 0
aliu 雪币： 235 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 61 粉丝 0 关注私信	aliu 3 楼顶下 2012-11-11 17:16 0
ultrajob 雪币： 14 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 34 粉丝 0 关注私信	ultrajob 4 楼自己做了个Afd Filter . 业余时间不容易啊, 为了ICMP还要动NDIS划不来.我也是这么想的. LZ可以联系我. 我给你发份LICOM的内核库.来试试所有功能由上层处理.哈哈 2012-11-11 17:41 0
kxzjchen 雪币： 190 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 470 粉丝 0 关注私信	kxzjchen 5 楼看起来不错，mark.......以后看 2012-11-11 19:00 0
hrpirip 雪币： 55 活跃值： (519) 能力值： ( LV6，RANK：80 ) 在线值：发帖 48 回帖 407 粉丝 2 关注私信	hrpirip 1 6 楼反过来就叫IDT 2012-11-11 20:48 0
gezz 雪币： 88 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 186 粉丝 0 关注私信	gezz 7 楼光棍节礼物么？ 2012-11-11 23:44 0
viphack 雪币： 219 活跃值： (783) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 8 楼 mark~~ 2012-11-12 08:27 0
ouyangtian 雪币： 130 活跃值： (66) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 168 粉丝 0 关注私信	ouyangtian 9 楼 nice，多谢楼主了 2012-11-12 15:41 0
蓝色妖女雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 149 粉丝 0 关注私信	蓝色妖女 10 楼 nice 学习一下牛X的东西 2012-11-12 22:09 0
yijun8354 雪币： 1919 活跃值： (901) 能力值： ( LV9，RANK：490 ) 在线值：发帖 22 回帖 784 粉丝 1 关注私信	yijun8354 12 11 楼收藏备用 2012-11-12 23:24 0
PEYlxZ 雪币： 159 活跃值： (40) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 123 粉丝 0 关注私信	PEYlxZ 12 楼先down下来收起来~ 2012-11-13 09:22 0
ultrajob 雪币： 14 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 34 粉丝 0 关注私信	ultrajob 13 楼最近折腾AFD的动态卸载.. 翻了下LZ的UNLOAD部分. 没有做IRP的完成调用计数之类的. 2012-11-13 09:41 0
iforgiven 雪币： 80 活跃值： (72) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 109 粉丝 0 关注私信	iforgiven 14 楼收藏。 2012-11-13 10:02 0
wangzesen 雪币： 870 活跃值： (1426) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 61 粉丝 0 关注私信	wangzesen 15 楼 ida是哪个版本的，为嘛已打不开，ida6.1和5.5的都试过了，打不开.... 2012-11-13 10:17 0
cppcoffee 雪币： 248 活跃值： (188) 能力值： ( LV12，RANK：300 ) 在线值：发帖 11 回帖 51 粉丝 3 关注私信	cppcoffee 6 16 楼用的是IDA 6.1 贴一张刚刚的截图上传的附件：未命名.jpg （129.38kb，8次下载） 2012-11-13 11:28 0
cppcoffee 雪币： 248 活跃值： (188) 能力值： ( LV12，RANK：300 ) 在线值：发帖 11 回帖 51 粉丝 3 关注私信	cppcoffee 6 17 楼兄台请看代码 #ifndef DBG DriverObject->DriverUnload = NULL; #else DriverObject->DriverUnload = DriverUnload; #endif 当要发布驱动的时候是木有Unload的，也不需要Unload，Unload这是用来自己卸载方便、调试方便用的，时下流行的防火墙运行的生命周期是在系统启动到结束，不用去考虑完成例程的计数问题，这样做能够减少很多不必要的代码和耦合关联你会看到时下很多防火墙都木有Unload，很多防火墙卸载的时候都询问你是否重启计算机，你懂的 2012-11-13 12:38 0
hellopen 雪币： 506 活跃值： (318) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 99 粉丝 0 关注私信	hellopen 18 楼支持，，，楼主好人 2012-11-14 10:45 0
wonderhill 雪币： 22 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 21 粉丝 0 关注私信	wonderhill 19 楼 mark 2012-11-14 21:56 0
zhujian 雪币： 1254 活跃值： (735) 能力值： ( LV6，RANK：90 ) 在线值：发帖 11 回帖 255 粉丝 1 关注私信	zhujian 2 20 楼收藏，谢谢分享 2012-11-14 22:08 0
linhanshi 雪币： 97697 活跃值： (200799) 能力值： (RANK：10 ) 在线值：发帖 9249 回帖 27943 粉丝 451 关注私信	linhanshi 21 楼 Thanks for share. 上传的附件： cool.gif （0.75kb，1次下载） 2012-11-15 16:59 0
kmsmxpro 雪币： 123 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 82 粉丝 0 关注私信	kmsmxpro 22 楼先收藏了，学习 2012-11-20 09:14 0
seaching 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 8 粉丝 0 关注私信	seaching 23 楼 // 备注: 拦截就返回 STATUS_FILE_CLOSED NTSTATUS TdiDispSend( IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp ) 返回 STATUS_FILE_CLOSED 就蓝屏？是什么原因呀？ 2013-8-15 17:04 0
seaching 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 8 粉丝 0 关注私信	seaching 24 楼 ConnectEventHandler ，连入的Event一直没有响应？ 2013-8-15 18:19 0
asdli 雪币： 81 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 161 粉丝 0 关注私信	asdli 25 楼收藏了，学习 2013-8-16 00:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复