引言:
本篇代码实战是WFP,TDI是铺垫,Windows网络杂谈开始。
XP老版本上,有几个驱动afd.sys,NetBt.sys,tdi.sys,tlnp.sys,tcpip.sys,ndis.sys等,Windows系统实现了OSI模型的4层,分别物理层,数据层,网际层和传输层。
Ndis好像分为三小层,没有写过代码这里不扩展,Win7后为了兼容老的TDI.sys,添加了新驱动TDX.sys,也保证了附加网络设备栈方式一致兼容,如/device/upd,/device/tcp等。Win7之后WFP是微软出来的新一代微型框架,为了更好的系统兼容性(稳定)和考虑上层过滤驱动开发更方便快捷。当然也怕hack不停Hook导致系统不稳定性和破坏,Minifilter诞生估计就有这小部分这个因素。
一个抽象的图:
一、TDI概念:
TDI,Transport Driver Interface,传输驱动接口,连接着socket和协议驱动,是协议驱动实现,有些资料介绍是低层次内核态网络栈接口,用于访问传输层功能,比NDIS更接近于应用层。古老系统win2000、xp、03上的东西,虽然Vista之后不推荐使用该接口,但是现在来看都兼容,都会有TDI接口,所以是全平台不过以后可能会被微软剔除。
获取系统ip、端口数据,winapi就可以去做,如GetExtendedTcpTable 可以获取比较完善的数据信息。但并不能去截获包数据,写任意进程抓包器或端口抓包,三环HOOK必不可少,HOOK socket等系列函数,捕获发送的包过滤敏感信息。而在内核驱动层,可以创建过滤设备,但是要修改系统原生态的处理函数也可能用到HOOK操作,创建过滤设备能满足我们大多需求。
参考:http://www.codemachine.com/article_tdi.html 经典好文,当然是纯理论课本式,谷歌翻译就能学习,英语好底子好的越过本文的基础铺垫与TDI协议,直接去看原文回来在撸代码。
二、TDI基础铺垫:
下文tdi默认是xp环境,TCPIP.sys对上接口暴露的就是TDI,内核访问TCPIP栈会用到TDI函数编程,TDI成了内核唯一的socket接口。
TDI三类:
如上图所示,可以看到TDI Client,TDI Filter,TDI Transport,那么TDI Filter是可选的,其实这与以前键盘串口过滤本质是相同的,但是TDI有客户、过滤、传输三种。
- Afd.sys,NetBt.sys,Http.sys都属于TDI客户端驱动。
- 过滤则是我们自己创建的过滤设备,防火墙就是一个最典型的过滤产品。
- 传输驱动通常实现传输层和网络层功能,处理TDI客户端IRP等,是通过NDIS网络适配访问,如TCPIP.sys,NWLINK.sys,TCPIP6.sys都是TDI驱动。
TDI设备对象:
说到windows,那就不能不提对象,进程也好、文件也罢,TDI也一样,对象如下:
Device Name |
Socket Type |
\Device\Ip |
ICMP |
\Device\RawIp |
Raw |
\Device\Tcp |
Stream |
\Device\Udp |
Datagram |
\Device\IPMULTICAST |
IGMP |
三、TDI协议:
很重要的一部分,看上述的图,Client到Transport,Filter可有可无,那么既然说了是网络,定然有交互协议约定。TDI传输依赖IRP与Callback,TDI Client使用IRP,而TDI Transport用EventCallback。
TDI事件通知:
- TCP Client发送IRP到TCP Transport,这个地方TDI Transport返回STATUS_PENDING状态,之后在某个特定事件发生完成IRP,然后回调函数调用处理,这种是客户请求。主动注册需要发送TDI_RECEIVE_IRP胡策一个TDI_EVENT_RECEIVE回调。
- 另一种需要TDI提前注册好回调函数等待被触发,当特定事件发生时调用处理,这种是事件。
TDI IRP:
划重点,上图可以知道TDI使用IRP来TDIclient --> TDITransport请求,TDIClient驱动使用内部IO控制IRP,功能码IRP_MJ_INTERNAL_DEVICE_CONTROL发送TDI_xxx请求。IO stack Locations格式化了结构请求特定参数TDI_REQUEST_KERNEL_XXX。下述功能我个人化了一下,请大家看原文:
Request |
Build Function |
AFD/TCPIP Usage |
TDI_ASSOCIATE_ADDRESS |
TdiBuildAssociateAddress() |
关联一个地址和一个连接对象 |
TDI_DISASSOCIATE_ADDRESS |
TdiBuildDisassociateAddress() |
解绑连接地址于传输地址 |
TDI_CONNECT |
TdiBuildConnect() |
初始化TCP三次握手 |
TDI_LISTEN |
TdiBuildListen() |
监听 |
TDI_ACCEPT |
TdiBuildAccept() |
连接 |
TDI_DISCONNECT |
TdiBuildDisconnect() |
挥手 |
TDI_SEND |
TdiBuildSend() |
发送 |
TDI_RECEIVE |
TdiBuildReceive() |
接收 |
TDI_SEND_DATAGRAM |
TdiBuildSendDatagram() |
UDP发送 |
TDI_RECEIVE_DATAGRAM |
TdiBuildReceiveDatagram() |
UDP返回 |
TDI_SET_EVENT_HANDLER |
TdiBuildSetEventHandler() |
指定地址于TCPIP.sys注销、注册回调函数 |
TDI_QUERY_INFORMATION |
TdiBuildQueryInformation() |
读取MIB信息 |
TDI_SET_INFORMATION |
TdiBuildSetInformation() |
Not Supported by TCPIP.sys.不支持 |
TDI_ACTION |
TdiBuildAction() |
Not Supported by TCPIP.sys.不支持 |
TDI Callback:
回调事件是为了优化内存使用,传输时候用底层网络驱动直接传输数据缓冲,整理如下:
Event |
AFD/TCP Usage |
TDI_EVENT_CONNECT |
AFD.sys指示到来的TCP SYN报文段 |
TDI_EVENT_DISCONNECT |
AFD.sys指示到来的TCP FIN报文段 |
TDI_EVENT_ERROR |
没被TCPIP.sys使用 |
TDI_EVENT_RECEIVE |
AFD.sys指示到来的TCP 数据报文段 |
TDI_EVENT_RECEIVE_DATAGRAM |
AFD.sys指示到来的UDP数据报文段 |
TDI_EVENT_RECEIVE_EXPEDITED |
AFD.sys指示带有TCP URGENT标记的数据报文段 |
TDI_EVENT_SEND_POSSIBLE |
没被TCPIP.sys使用 |
TDI_EVENT_CHAINED_RECEIVE |
AFD.sys用NDIS_BUFFER描述的数据,不使用TCPIP的缓冲区且对该数据进行复制 |
TDI_EVENT_CHAINED_RECEIVE _DATAGRAM |
没被TCPIP.sys使用 |
TDI_EVENT_CHAINED_RECEIVE_EXPEDITED |
没被TCPIP.sys使用 |
TDI_EVENT_ERROR_EX |
TCPIP.sys向AFD.sys通知,远端不可达错误 |
拦截callback与irp不一样,irp拦截获取的是结构数据信息,irp包含所需的内容,而过滤事件先要拦截TDI_SET_EVENT_HANDLER请求,里面保存了TDIClient驱动注册的回调函数,替换实现拦截效果。
TDI Client side TDI Transport:
既然是连接两个端点,一个本地,一个远程。socket需要一一对应,当客户端请求,ip:port一致的话就会被TDI传输驱动在对象连接池中分配一个连接对象,有点NetworkPool的感觉多线程。
客户端交互TDI:
- ZwCreateFile创建传输对象(本地)与连接对象
- TDI_ASSOCIATE_ADDRESS关联,这样类似于映射机制绑定在一起
- 发送连接请求TDI_CONNECT
- 发送断开请求TDI_DISCONNECT
- TDI_DISASSOCIATE_ADDRESS解绑,销毁两者之间绑定关系
- ZwClose关闭传输对象与连接对象
服务端交互TDI:
- ZwCreateFile创建传输地址对象
- 注册事件
- 创建一系列连接端点对象ZwCreateFile
- 关键起来TDI_ASSOCIATE_ADDRESS
- 当需要处理函数,被调用时,检查远端信息,选择可用的远程连接端去发起响应请求(TDI_ACCEPT)
四、WFP概念:
概念性请参考msdn:
https://docs.microsoft.com/zh-cn/windows-hardware/drivers/network/roadmap-for-developing-wfp-callout-drivers
五、WFP实战:
wfp-tcp抓包:
本篇是以前学习编写的demo示例,Wfp再应用层和内核层都提供了API,本套代码逻辑User负责添加Callout,Sublayer及filter,内核层负责注册Callout。
r3:
1) wfp引擎初始化如下,HlprFwpmEngineOpen负责打开引擎:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 | / / OpenEngine
result = HlprFwpmEngineOpen(&engineHandle, &session);
if (NO_ERROR ! = result)
{
printf( "Error: HlprFwpmEngineOpen = %d\r\n" , result);
return - 1 ;
}
/ / TransactionBegin
result = HlprFwpmTransactionBegin(&engineHandle);
if (NO_ERROR ! = result)
{
printf( "Error: HlprFwpmTransactionBegin = %d\r\n" , result);
return - 1 ;
}
RtlZeroMemory(&callout, sizeof(FWPM_CALLOUT));
RtlZeroMemory(&displayData, sizeof(FWPM_DISPLAY_DATA));
displayData.description = MONITOR_FLOW_ESTABLISHED_CALLOUT_DESCRIPTION;
displayData.name = MONITOR_FLOW_ESTABLISHED_CALLOUT_NAME;
|
FwpmCalloutAdd0添加CallOut,函数原型如下:
1 2 3 4 5 6 7 8 9 | _IRQL_requires_max_(PASSIVE_LEVEL)
NTSTATUS
NTAPI
FwpmCalloutAdd0(
_In_ HANDLE engineHandle,
_In_ const FWPM_CALLOUT0 * callout,
_In_opt_ PSECURITY_DESCRIPTOR sd,
_Out_opt_ UINT32 * id
);
|
2) 函数有一个重要参数就是callout,FWPM_CALLOUT0结构原型如下,calloutKey是128bit的GUID唯一标识,是标记添加的CallOut,displayData则是CallOut的名字和描述,applicableLayer是Callout添加到哪一个层:
1 2 3 4 5 6 7 8 9 10 | typedef struct FWPM_CALLOUT0_
{
GUID calloutKey;
FWPM_DISPLAY_DATA0 displayData;
UINT32 flags;
/ * [unique] * / GUID * providerKey;
FWP_BYTE_BLOB providerData;
GUID applicableLayer;
UINT32 calloutId;
} FWPM_CALLOUT0;
|
3) 监控Tcp流量,第一步使用CallOutAdd添加两个Callout,GUID分别如下:
1 2 | FWPM_LAYER_ALE_FLOW_ESTABLISHED_V4 / V6 关联TCP上下文数据包
FWPM_LAYER_STREAM_V4 / V6 监控发送流量,如send / sendto
|
4) 添加完成Callout之后,使用FwpmSubLayerAdd添加子层和过滤条件,这里添加一个MONITOR_SAMPLE_SUBLAYER的子层:
5) FWPM_SUBLAYER用于添加一个子层,FWPM_FILTER添加一个过滤器,而FWPM_FILTER_CONDITION用于添加过滤条件,它可以指定多个过滤条件,定义成为数组:
1 2 3 4 | FWPM_SUBLAYER TcpSubLayer, UdpSubLayer;
/ / FWPM_SUBLAYER monitorUdpICMPSubLayer;
FWPM_FILTER Tcpfilter, Udpfilter;
FWPM_FILTER_CONDITION TcpSublayerfilterConditions[ 3 ] = { 0 , }, UdpSublayerfilterConditions[ 3 ] = { 0 , }; / / We only need two for this call.
|
6) 过滤条件:TcpSublayerfilterConditions有几个重要参数,conditionValue.uint8表示IPPROTO_TCP符合TCP才会触发。
1 2 3 4 5 6 | 过滤条件:
RtlZeroMemory(TcpSublayerfilterConditions, sizeof(TcpSublayerfilterConditions));
TcpSublayerfilterConditions[ 0 ].fieldKey = FWPM_CONDITION_IP_PROTOCOL;
TcpSublayerfilterConditions[ 0 ].matchType = FWP_MATCH_EQUAL; / / 是否等于条件值
TcpSublayerfilterConditions[ 0 ].conditionValue. type = FWP_UINT8;
TcpSublayerfilterConditions[ 0 ].conditionValue.uint8 = IPPROTO_TCP; / / TCP
|
7) 过滤器:Tcpfilter.SubLayerKey参数关联第三步添加的子层,Tcpfilter.filterCondition 关联第四步添加的过滤器,这个概念就像子层里面有多个过滤器,过滤器有多个过滤条件:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 | RtlZeroMemory(&Tcpfilter, sizeof(FWPM_FILTER));
Tcpfilter.layerKey = FWPM_LAYER_ALE_FLOW_ESTABLISHED_V4;
Tcpfilter.displayData.name = L "Flow established filter." ;
Tcpfilter.displayData.description = L "Sets up flow for traffic that we are interested in." ;
Tcpfilter.action. type = FWP_ACTION_CALLOUT_TERMINATING; / / FWP_ACTION_CALLOUT_INSPECTION
Tcpfilter.action.calloutKey = TCP_FLOW_ESTABLISHED_CALLOUT_V4;
Tcpfilter.filterCondition = TcpSublayerfilterConditions;
Tcpfilter.subLayerKey = MONITOR_SAMPLE_SUBLAYER;
Tcpfilter.weight. type = FWP_EMPTY; / / auto - weight.
Tcpfilter.numFilterConditions = 1 ;
printf( "HlprFwpmFilterAdd engineHandle = 0x%p\n" , * engineHandle);
result = HlprFwpmFilterAdd(engineHandle, &Tcpfilter);
if (NO_ERROR ! = result)
break ;
|
用户态负责添加Callout,添加子层和绑定过滤器及添加过滤条件,这套代码同样可以再内核层实现,这里是写成了应用层。
协议栈流量经过我们注册的子层,通过匹配过滤器及条件筛选,符合条件将流量交给添加的CallOut处理,应用层只添加了Callout,还少至关重要的一步,流量符合条件流入Callout之后如何处理?放行-拦截-转发代理?接下来内核态注册Callout。
r0:
1) FwpsCalloutRegister函数负责注册Callout生效,函数原型如下,参数1对象,参数2:FWPS_CALLOUT结构,参数3 ID标识:
1 2 3 4 5 6 7 8 9 10 11 12 | / / Register the function pointers for a version - 1 callout. The callout driver
/ / must call FwpsCalloutUnregisterById before unloading.
_IRQL_requires_max_(PASSIVE_LEVEL)
NTSTATUS
NTAPI
FwpsCalloutRegister1(
_Inout_ void * deviceObject,
_In_ const FWPS_CALLOUT1 * callout,
_Out_opt_ UINT32 * calloutId
);
|
3) FWPS_CALLOUT包含了处理回调,子层命中数据流进行处理,calloutKey指定那一层的数据,比如TCP_FLOW_ESTABLISHED_CALLOUT_V4(应用层的第三步),ClassifyFnction回调函数负责处理流量数据:
1 | FWPS_CALLOUT sCallout;NTSTATUS status = STATUS_SUCCESS;memset(&sCallout, 0 , sizeof(FWPS_CALLOUT));sCallout.calloutKey = * calloutKey;sCallout.flags = flags;sCallout.classifyFn = ClassifyFunction;sCallout.notifyFn = NotifyFunction;sCallout.flowDeleteFn = FlowDeleteFunction;
|
4) 分别来看FWPM_LAYER_STREAM_CALLOUT | FWPM_LAYER_ALE_FLOW_ENTABLISHED的ClassifyFunction
4.1) FWPM_LAYER_ALE_FLOW_ENTABLISHED:
该层中两个重要参数可以获取"五要素"数据,进行上线文关联。
1 | _In_ const FWPS_INCOMING_VALUES * inFixedValues,_In_ const FWPS_INCOMING_METADATA_VALUES * inMetaValues,
|
这里介绍参数中那些可能关心的数据:
1 | 进程路径inMetaValues - >processPath五要素inFixedValues - >incomingValue[index].value.uint32;incomingValue是一个数组,index获取不同的元素:typedef enum FWPS_FIELDS_ALE_FLOW_ESTABLISHED_V4_{ FWPS_FIELD_ALE_FLOW_ESTABLISHED_V4_ALE_APP_ID, FWPS_FIELD_ALE_FLOW_ESTABLISHED_V4_ALE_USER_ID, FWPS_FIELD_ALE_FLOW_ESTABLISHED_V4_IP_LOCAL_ADDRESS, FWPS_FIELD_ALE_FLOW_ESTABLISHED_V4_IP_LOCAL_ADDRESS_TYPE, FWPS_FIELD_ALE_FLOW_ESTABLISHED_V4_IP_LOCAL_PORT, FWPS_FIELD_ALE_FLOW_ESTABLISHED_V4_IP_PROTOCOL, FWPS_FIELD_ALE_FLOW_ESTABLISHED_V4_IP_REMOTE_ADDRESS, FWPS_FIELD_ALE_FLOW_ESTABLISHED_V4_IP_REMOTE_PORT, FWPS_FIELD_ALE_FLOW_ESTABLISHED_V4_ALE_REMOTE_USER_ID, FWPS_FIELD_ALE_FLOW_ESTABLISHED_V4_ALE_REMOTE_MACHINE_ID, FWPS_FIELD_ALE_FLOW_ESTABLISHED_V4_IP_DESTINATION_ADDRESS_TYPE, FWPS_FIELD_ALE_FLOW_ESTABLISHED_V4_IP_LOCAL_INTERFACE, FWPS_FIELD_ALE_FLOW_ESTABLISHED_V4_DIRECTION, FWPS_FIELD_ALE_FLOW_ESTABLISHED_V4_INTERFACE_TYPE, FWPS_FIELD_ALE_FLOW_ESTABLISHED_V4_TUNNEL_TYPE,
|
申请结构体,通过回调参数获取元素保存再结构体中,并且通过FwpsFlowAssociateContext关联至其它层。
1 | status = FwpsFlowAssociateContext(flowHandle, FWPS_LAYER_STREAM_V4, / / 关联到stream_v4层 streamId, / / 层 id flowContextLocal); / / 保存的元素
|
4.1) FWPM_LAYER_STREAM_CALLOUT :
Established层中已经将ip-port等数据关联至该层,所以从第三个参数可以获取到关联的数据.
将packet转换成FWPS_STREAM_CALLOUT_IO_PACKET结构体,然后获取数据长度和数据包,进行数据解析和打印,这里可以做过滤拦截,比如根据IP-PORT可以选择动作,放行或拦截。
1 2 3 4 5 6 7 8 | streamPacket = (FWPS_STREAM_CALLOUT_IO_PACKET * )packet;
if (streamPacket - >streamData ! = NULL && streamPacket - >streamData - >dataLength ! = 0 )
{
flowData = * (FLOW_DATA * * )
(UINT64 * )&flowContext;
inbound = (BOOLEAN)((streamPacket - >streamData - >flags &
FWPS_STREAM_FLAG_RECEIVE) = = FWPS_STREAM_FLAG_RECEIVE);
DbgPrint( "Tcp --> ProcessId : %d\t Protor: %d\t localAddressV4: 0x%x:%d\t remoteAddressV4: 0x%x:%d\r\n" , flowData - >processID, flowData - >ipProto, flowData - >localAddressV4, flowData - >localPort, flowData - >remoteAddressV4, flowData - >remotePort);
|
放行设置FWP_ACTION_CONTINUE:
1 | classifyOut - >actionType = FWP_ACTION_CONTINUE;
|
拦截设置FWP_ACTION_BLOCK:
1 2 3 4 5 6 | 需要转才可以
ULONG blockipaddrArry[ 10 ] = { 0xb465310b , 0 , };
if (flowData - >remoteAddressV4 = = blockipaddrArry[ 0 ]) {
classifyOut - >actionType = FWP_ACTION_BLOCK;
return status;
}
|
wfp业务场景通常和代理(重定向)有关,一种是发起连接时候直接重定向,注册connect redirect层
1 | FPWM_LAYER_ALE_CONNECT_REDIRECT
|
另一种需要改包,将原数据包复制且block,然后处理复制的包(修改),重新注入层发送,微软也提供了一个udp代理,有兴趣的可以学习,后面有时间分享一些商用驱动框架,如NetFilter SDK2.0。
以前的旧笔记,和其它两篇驱动是姐妹篇:
- Windows驱动编程之串口过滤杂谈: https://xz.aliyun.com/t/6487
- Windows驱动编程之键盘过滤杂谈: https://xz.aliyun.com/t/6581
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
最后于 2021-7-15 08:57
被一半人生编辑
,原因: