首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 看雪社区
  2. 编程技术
    3. 发新帖
Windows驱动编程之WFP/TDI
2021-7-15 08:42 29043

Windows驱动编程之WFP/TDI

一半人生 活跃值
5
2021-7-15 08:42
29043

引言:

本篇代码实战是WFP,TDI是铺垫,Windows网络杂谈开始。

 

  XP老版本上,有几个驱动afd.sys,NetBt.sys,tdi.sys,tlnp.sys,tcpip.sys,ndis.sys等,Windows系统实现了OSI模型的4层,分别物理层,数据层,网际层和传输层。

 

  Ndis好像分为三小层,没有写过代码这里不扩展,Win7后为了兼容老的TDI.sys,添加了新驱动TDX.sys,也保证了附加网络设备栈方式一致兼容,如/device/upd,/device/tcp等。Win7之后WFP是微软出来的新一代微型框架,为了更好的系统兼容性(稳定)和考虑上层过滤驱动开发更方便快捷。当然也怕hack不停Hook导致系统不稳定性和破坏,Minifilter诞生估计就有这小部分这个因素。

 

一个抽象的图:

 

一、TDI概念:

  TDI,Transport Driver Interface,传输驱动接口,连接着socket和协议驱动,是协议驱动实现,有些资料介绍是低层次内核态网络栈接口,用于访问传输层功能,比NDIS更接近于应用层。古老系统win2000、xp、03上的东西,虽然Vista之后不推荐使用该接口,但是现在来看都兼容,都会有TDI接口,所以是全平台不过以后可能会被微软剔除。

 

  获取系统ip、端口数据,winapi就可以去做,如GetExtendedTcpTable 可以获取比较完善的数据信息。但并不能去截获包数据,写任意进程抓包器或端口抓包,三环HOOK必不可少,HOOK socket等系列函数,捕获发送的包过滤敏感信息。而在内核驱动层,可以创建过滤设备,但是要修改系统原生态的处理函数也可能用到HOOK操作,创建过滤设备能满足我们大多需求。

 

  参考:http://www.codemachine.com/article_tdi.html 经典好文,当然是纯理论课本式,谷歌翻译就能学习,英语好底子好的越过本文的基础铺垫与TDI协议,直接去看原文回来在撸代码。

二、TDI基础铺垫:

  下文tdi默认是xp环境,TCPIP.sys对上接口暴露的就是TDI,内核访问TCPIP栈会用到TDI函数编程,TDI成了内核唯一的socket接口。

 

TDI三类:

  如上图所示,可以看到TDI Client,TDI Filter,TDI Transport,那么TDI Filter是可选的,其实这与以前键盘串口过滤本质是相同的,但是TDI有客户、过滤、传输三种。

  1. Afd.sys,NetBt.sys,Http.sys都属于TDI客户端驱动。
  2. 过滤则是我们自己创建的过滤设备,防火墙就是一个最典型的过滤产品。
  3. 传输驱动通常实现传输层和网络层功能,处理TDI客户端IRP等,是通过NDIS网络适配访问,如TCPIP.sys,NWLINK.sys,TCPIP6.sys都是TDI驱动。

TDI设备对象:

说到windows,那就不能不提对象,进程也好、文件也罢,TDI也一样,对象如下:

Device Name Socket Type
\Device\Ip ICMP
\Device\RawIp Raw
\Device\Tcp Stream
\Device\Udp Datagram
\Device\IPMULTICAST IGMP

三、TDI协议:

  很重要的一部分,看上述的图,Client到Transport,Filter可有可无,那么既然说了是网络,定然有交互协议约定。TDI传输依赖IRP与Callback,TDI Client使用IRP,而TDI Transport用EventCallback。

TDI事件通知:

  1. TCP Client发送IRP到TCP Transport,这个地方TDI Transport返回STATUS_PENDING状态,之后在某个特定事件发生完成IRP,然后回调函数调用处理,这种是客户请求。主动注册需要发送TDI_RECEIVE_IRP胡策一个TDI_EVENT_RECEIVE回调。
  2. 另一种需要TDI提前注册好回调函数等待被触发,当特定事件发生时调用处理,这种是事件。

TDI IRP:

 

  划重点,上图可以知道TDI使用IRP来TDIclient --> TDITransport请求,TDIClient驱动使用内部IO控制IRP,功能码IRP_MJ_INTERNAL_DEVICE_CONTROL发送TDI_xxx请求。IO stack Locations格式化了结构请求特定参数TDI_REQUEST_KERNEL_XXX。下述功能我个人化了一下,请大家看原文:

Request Build Function AFD/TCPIP Usage
TDI_ASSOCIATE_ADDRESS TdiBuildAssociateAddress() 关联一个地址和一个连接对象
TDI_DISASSOCIATE_ADDRESS TdiBuildDisassociateAddress() 解绑连接地址于传输地址
TDI_CONNECT TdiBuildConnect() 初始化TCP三次握手
TDI_LISTEN TdiBuildListen() 监听
TDI_ACCEPT TdiBuildAccept() 连接
TDI_DISCONNECT TdiBuildDisconnect() 挥手
TDI_SEND TdiBuildSend() 发送
TDI_RECEIVE TdiBuildReceive() 接收
TDI_SEND_DATAGRAM TdiBuildSendDatagram() UDP发送
TDI_RECEIVE_DATAGRAM TdiBuildReceiveDatagram() UDP返回
TDI_SET_EVENT_HANDLER TdiBuildSetEventHandler() 指定地址于TCPIP.sys注销、注册回调函数
TDI_QUERY_INFORMATION TdiBuildQueryInformation() 读取MIB信息
TDI_SET_INFORMATION TdiBuildSetInformation() Not Supported by TCPIP.sys.不支持
TDI_ACTION TdiBuildAction() Not Supported by TCPIP.sys.不支持

TDI Callback:

回调事件是为了优化内存使用,传输时候用底层网络驱动直接传输数据缓冲,整理如下:

Event AFD/TCP Usage
TDI_EVENT_CONNECT AFD.sys指示到来的TCP SYN报文段
TDI_EVENT_DISCONNECT AFD.sys指示到来的TCP FIN报文段
TDI_EVENT_ERROR 没被TCPIP.sys使用
TDI_EVENT_RECEIVE AFD.sys指示到来的TCP 数据报文段
TDI_EVENT_RECEIVE_DATAGRAM AFD.sys指示到来的UDP数据报文段
TDI_EVENT_RECEIVE_EXPEDITED AFD.sys指示带有TCP URGENT标记的数据报文段
TDI_EVENT_SEND_POSSIBLE 没被TCPIP.sys使用
TDI_EVENT_CHAINED_RECEIVE AFD.sys用NDIS_BUFFER描述的数据,不使用TCPIP的缓冲区且对该数据进行复制
TDI_EVENT_CHAINED_RECEIVE _DATAGRAM 没被TCPIP.sys使用
TDI_EVENT_CHAINED_RECEIVE_EXPEDITED 没被TCPIP.sys使用
TDI_EVENT_ERROR_EX TCPIP.sys向AFD.sys通知,远端不可达错误
 

  拦截callback与irp不一样,irp拦截获取的是结构数据信息,irp包含所需的内容,而过滤事件先要拦截TDI_SET_EVENT_HANDLER请求,里面保存了TDIClient驱动注册的回调函数,替换实现拦截效果。

 

TDI Client side TDI Transport:

  既然是连接两个端点,一个本地,一个远程。socket需要一一对应,当客户端请求,ip:port一致的话就会被TDI传输驱动在对象连接池中分配一个连接对象,有点NetworkPool的感觉多线程。

 

客户端交互TDI:

  1. ZwCreateFile创建传输对象(本地)与连接对象
  2. TDI_ASSOCIATE_ADDRESS关联,这样类似于映射机制绑定在一起
  3. 发送连接请求TDI_CONNECT
  4. 发送断开请求TDI_DISCONNECT
  5. TDI_DISASSOCIATE_ADDRESS解绑,销毁两者之间绑定关系
  6. ZwClose关闭传输对象与连接对象

服务端交互TDI:

  1. ZwCreateFile创建传输地址对象
  2. 注册事件
  3. 创建一系列连接端点对象ZwCreateFile
  4. 关键起来TDI_ASSOCIATE_ADDRESS
  5. 当需要处理函数,被调用时,检查远端信息,选择可用的远程连接端去发起响应请求(TDI_ACCEPT)

四、WFP概念:

概念性请参考msdn:
https://docs.microsoft.com/zh-cn/windows-hardware/drivers/network/roadmap-for-developing-wfp-callout-drivers

五、WFP实战:

wfp-tcp抓包:

  本篇是以前学习编写的demo示例,Wfp再应用层和内核层都提供了API,本套代码逻辑User负责添加Callout,Sublayer及filter,内核层负责注册Callout。

r3:

1) wfp引擎初始化如下,HlprFwpmEngineOpen负责打开引擎:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
// OpenEngine
result = HlprFwpmEngineOpen(&engineHandle, &session);
if (NO_ERROR != result)
{
    printf("Error: HlprFwpmEngineOpen = %d\r\n", result);
    return -1;
}
 
// TransactionBegin
result = HlprFwpmTransactionBegin(&engineHandle);
if (NO_ERROR != result)
{
    printf("Error: HlprFwpmTransactionBegin = %d\r\n", result);
    return -1;
}
 
RtlZeroMemory(&callout, sizeof(FWPM_CALLOUT));
RtlZeroMemory(&displayData, sizeof(FWPM_DISPLAY_DATA));
displayData.description = MONITOR_FLOW_ESTABLISHED_CALLOUT_DESCRIPTION;
displayData.name = MONITOR_FLOW_ESTABLISHED_CALLOUT_NAME;

FwpmCalloutAdd0添加CallOut,函数原型如下:

1
2
3
4
5
6
7
8
9
_IRQL_requires_max_(PASSIVE_LEVEL)
NTSTATUS
NTAPI
FwpmCalloutAdd0(
   _In_ HANDLE engineHandle,
   _In_ const FWPM_CALLOUT0* callout,
   _In_opt_ PSECURITY_DESCRIPTOR sd,
   _Out_opt_ UINT32* id
   );

2) 函数有一个重要参数就是callout,FWPM_CALLOUT0结构原型如下,calloutKey是128bit的GUID唯一标识,是标记添加的CallOut,displayData则是CallOut的名字和描述,applicableLayer是Callout添加到哪一个层:

1
2
3
4
5
6
7
8
9
10
typedef struct FWPM_CALLOUT0_
    {
    GUID calloutKey;
    FWPM_DISPLAY_DATA0 displayData;
    UINT32 flags;
    /* [unique] */ GUID *providerKey;
    FWP_BYTE_BLOB providerData;
    GUID applicableLayer;
    UINT32 calloutId;
    }     FWPM_CALLOUT0;

3) 监控Tcp流量,第一步使用CallOutAdd添加两个Callout,GUID分别如下:

1
2
FWPM_LAYER_ALE_FLOW_ESTABLISHED_V4/V6 关联TCP上下文数据包
FWPM_LAYER_STREAM_V4/V6    监控发送流量,如send/sendto

 

4) 添加完成Callout之后,使用FwpmSubLayerAdd添加子层和过滤条件,这里添加一个MONITOR_SAMPLE_SUBLAYER的子层:

 

 

5) FWPM_SUBLAYER用于添加一个子层,FWPM_FILTER添加一个过滤器,而FWPM_FILTER_CONDITION用于添加过滤条件,它可以指定多个过滤条件,定义成为数组:

1
2
3
4
FWPM_SUBLAYER TcpSubLayer, UdpSubLayer;
// FWPM_SUBLAYER monitorUdpICMPSubLayer;
FWPM_FILTER Tcpfilter, Udpfilter;
FWPM_FILTER_CONDITION TcpSublayerfilterConditions[3] = { 0, }, UdpSublayerfilterConditions[3] = { 0, }; // We only need two for this call.

6) 过滤条件:TcpSublayerfilterConditions有几个重要参数,conditionValue.uint8表示IPPROTO_TCP符合TCP才会触发。

1
2
3
4
5
6
过滤条件:
RtlZeroMemory(TcpSublayerfilterConditions, sizeof(TcpSublayerfilterConditions));
        TcpSublayerfilterConditions[0].fieldKey = FWPM_CONDITION_IP_PROTOCOL;
        TcpSublayerfilterConditions[0].matchType = FWP_MATCH_EQUAL;    // 是否等于条件值
        TcpSublayerfilterConditions[0].conditionValue.type = FWP_UINT8;
        TcpSublayerfilterConditions[0].conditionValue.uint8 = IPPROTO_TCP;    // TCP

7) 过滤器:Tcpfilter.SubLayerKey参数关联第三步添加的子层,Tcpfilter.filterCondition 关联第四步添加的过滤器,这个概念就像子层里面有多个过滤器,过滤器有多个过滤条件:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
        RtlZeroMemory(&Tcpfilter, sizeof(FWPM_FILTER));
​        Tcpfilter.layerKey = FWPM_LAYER_ALE_FLOW_ESTABLISHED_V4;
​        Tcpfilter.displayData.name = L"Flow established filter.";
​        Tcpfilter.displayData.description = L"Sets up flow for traffic that we are interested in.";
​        Tcpfilter.action.type = FWP_ACTION_CALLOUT_TERMINATING; // FWP_ACTION_CALLOUT_INSPECTION
​        Tcpfilter.action.calloutKey = TCP_FLOW_ESTABLISHED_CALLOUT_V4;
​        Tcpfilter.filterCondition = TcpSublayerfilterConditions;
​        Tcpfilter.subLayerKey = MONITOR_SAMPLE_SUBLAYER;
​        Tcpfilter.weight.type = FWP_EMPTY; // auto-weight.
​        Tcpfilter.numFilterConditions = 1;
 
        printf("HlprFwpmFilterAdd engineHandle = 0x%p\n", *engineHandle);
        result = HlprFwpmFilterAdd(engineHandle, &Tcpfilter);
        if (NO_ERROR != result)
            break;

 

  用户态负责添加Callout,添加子层和绑定过滤器及添加过滤条件,这套代码同样可以再内核层实现,这里是写成了应用层。

 

  协议栈流量经过我们注册的子层,通过匹配过滤器及条件筛选,符合条件将流量交给添加的CallOut处理,应用层只添加了Callout,还少至关重要的一步,流量符合条件流入Callout之后如何处理?放行-拦截-转发代理?接下来内核态注册Callout。

r0:

  1) FwpsCalloutRegister函数负责注册Callout生效,函数原型如下,参数1对象,参数2:FWPS_CALLOUT结构,参数3 ID标识:

1
2
3
4
5
6
7
8
9
10
11
12
#if (NTDDI_VERSION >= NTDDI_WIN7)
// Register the function pointers for a version-1 callout.  The callout driver
// must call FwpsCalloutUnregisterById before unloading.
_IRQL_requires_max_(PASSIVE_LEVEL)
NTSTATUS
NTAPI
FwpsCalloutRegister1(
   _Inout_ void* deviceObject,
   _In_ const FWPS_CALLOUT1* callout,
   _Out_opt_ UINT32* calloutId
   );
#endif // (NTDDI_VERSION >= NTDDI_WIN7)

3) FWPS_CALLOUT包含了处理回调,子层命中数据流进行处理,calloutKey指定那一层的数据,比如TCP_FLOW_ESTABLISHED_CALLOUT_V4(应用层的第三步),ClassifyFnction回调函数负责处理流量数据:

1
FWPS_CALLOUT sCallout;NTSTATUS status = STATUS_SUCCESS;memset(&sCallout, 0, sizeof(FWPS_CALLOUT));sCallout.calloutKey = *calloutKey;sCallout.flags = flags;sCallout.classifyFn = ClassifyFunction;sCallout.notifyFn = NotifyFunction;sCallout.flowDeleteFn = FlowDeleteFunction;

4) 分别来看FWPM_LAYER_STREAM_CALLOUT | FWPM_LAYER_ALE_FLOW_ENTABLISHED的ClassifyFunction

 

4.1) FWPM_LAYER_ALE_FLOW_ENTABLISHED:

 

该层中两个重要参数可以获取"五要素"数据,进行上线文关联。

1
_In_ const FWPS_INCOMING_VALUES* inFixedValues,_In_ const FWPS_INCOMING_METADATA_VALUES* inMetaValues,

这里介绍参数中那些可能关心的数据:

1
进程路径inMetaValues->processPath五要素inFixedValues->incomingValue[index].value.uint32;incomingValue是一个数组,index获取不同的元素:typedef enum FWPS_FIELDS_ALE_FLOW_ESTABLISHED_V4_{   FWPS_FIELD_ALE_FLOW_ESTABLISHED_V4_ALE_APP_ID,   FWPS_FIELD_ALE_FLOW_ESTABLISHED_V4_ALE_USER_ID,   FWPS_FIELD_ALE_FLOW_ESTABLISHED_V4_IP_LOCAL_ADDRESS,   FWPS_FIELD_ALE_FLOW_ESTABLISHED_V4_IP_LOCAL_ADDRESS_TYPE,   FWPS_FIELD_ALE_FLOW_ESTABLISHED_V4_IP_LOCAL_PORT,   FWPS_FIELD_ALE_FLOW_ESTABLISHED_V4_IP_PROTOCOL,   FWPS_FIELD_ALE_FLOW_ESTABLISHED_V4_IP_REMOTE_ADDRESS,   FWPS_FIELD_ALE_FLOW_ESTABLISHED_V4_IP_REMOTE_PORT,   FWPS_FIELD_ALE_FLOW_ESTABLISHED_V4_ALE_REMOTE_USER_ID,   FWPS_FIELD_ALE_FLOW_ESTABLISHED_V4_ALE_REMOTE_MACHINE_ID,   FWPS_FIELD_ALE_FLOW_ESTABLISHED_V4_IP_DESTINATION_ADDRESS_TYPE,   FWPS_FIELD_ALE_FLOW_ESTABLISHED_V4_IP_LOCAL_INTERFACE,   FWPS_FIELD_ALE_FLOW_ESTABLISHED_V4_DIRECTION,   FWPS_FIELD_ALE_FLOW_ESTABLISHED_V4_INTERFACE_TYPE,   FWPS_FIELD_ALE_FLOW_ESTABLISHED_V4_TUNNEL_TYPE,#if (NTDDI_VERSION >= NTDDI_WIN6SP1)   FWPS_FIELD_ALE_FLOW_ESTABLISHED_V4_FLAGS,#if (NTDDI_VERSION >= NTDDI_WIN8)   FWPS_FIELD_ALE_FLOW_ESTABLISHED_V4_ALE_ORIGINAL_APP_ID,   FWPS_FIELD_ALE_FLOW_ESTABLISHED_V4_ALE_PACKAGE_ID,#if (NTDDI_VERSION >= NTDDI_WINTHRESHOLD)   FWPS_FIELD_ALE_FLOW_ESTABLISHED_V4_ALE_SECURITY_ATTRIBUTE_FQBN_VALUE,#if (NTDDI_VERSION >= NTDDI_WIN10_RS2)   FWPS_FIELD_ALE_FLOW_ESTABLISHED_V4_COMPARTMENT_ID,#endif // (NTDDI_VERSION >= NTDDI_WIN10_RS2)#endif // (NTDDI_VERSION >= NTDDI_WINTHRESHOLD)#endif // (NTDDI_VERSION >= NTDDI_WIN8)#endif // (NTDDI_VERSION >= NTDDI_WIN6SP1)   FWPS_FIELD_ALE_FLOW_ESTABLISHED_V4_BITMAP_IP_LOCAL_ADDRESS,   FWPS_FIELD_ALE_FLOW_ESTABLISHED_V4_BITMAP_IP_LOCAL_PORT,   FWPS_FIELD_ALE_FLOW_ESTABLISHED_V4_BITMAP_IP_REMOTE_ADDRESS,   FWPS_FIELD_ALE_FLOW_ESTABLISHED_V4_BITMAP_IP_REMOTE_PORT,   FWPS_FIELD_ALE_FLOW_ESTABLISHED_V4_MAX} FWPS_FIELDS_ALE_FLOW_ESTABLISHED_V4;

  申请结构体,通过回调参数获取元素保存再结构体中,并且通过FwpsFlowAssociateContext关联至其它层。

1
status = FwpsFlowAssociateContext(flowHandle,    FWPS_LAYER_STREAM_V4,        // 关联到stream_v4层    streamId,                    // id    flowContextLocal);             // 保存的元素

4.1) FWPM_LAYER_STREAM_CALLOUT :

 

Established层中已经将ip-port等数据关联至该层,所以从第三个参数可以获取到关联的数据.

1
_Inout_opt_ void* packet

  将packet转换成FWPS_STREAM_CALLOUT_IO_PACKET结构体,然后获取数据长度和数据包,进行数据解析和打印,这里可以做过滤拦截,比如根据IP-PORT可以选择动作,放行或拦截。

1
2
3
4
5
6
7
8
streamPacket = (FWPS_STREAM_CALLOUT_IO_PACKET*)packet;   
if (streamPacket->streamData != NULL && streamPacket->streamData->dataLength != 0)
{       
    flowData = *(FLOW_DATA**)
    (UINT64*)&flowContext;       
    inbound = (BOOLEAN)((streamPacket->streamData->flags &
FWPS_STREAM_FLAG_RECEIVE) == FWPS_STREAM_FLAG_RECEIVE);       
    DbgPrint("Tcp --> ProcessId : %d\t Protor: %d\t localAddressV4: 0x%x:%d\t remoteAddressV4: 0x%x:%d\r\n", flowData->processID, flowData->ipProto, flowData->localAddressV4, flowData->localPort, flowData->remoteAddressV4, flowData->remotePort);

放行设置FWP_ACTION_CONTINUE:

1
classifyOut->actionType = FWP_ACTION_CONTINUE;

拦截设置FWP_ACTION_BLOCK:

1
2
3
4
5
6
需要转才可以       
ULONG blockipaddrArry[10] = { 0xb465310b,0, };       
if (flowData->remoteAddressV4 == blockipaddrArry[0])    {           
    classifyOut->actionType = FWP_ACTION_BLOCK;       
    return status;       
}

wfp业务场景通常和代理(重定向)有关,一种是发起连接时候直接重定向,注册connect redirect层

1
FPWM_LAYER_ALE_CONNECT_REDIRECT

  另一种需要改包,将原数据包复制且block,然后处理复制的包(修改),重新注入层发送,微软也提供了一个udp代理,有兴趣的可以学习,后面有时间分享一些商用驱动框架,如NetFilter SDK2.0。

 

以前的旧笔记,和其它两篇驱动是姐妹篇:

  1. Windows驱动编程之串口过滤杂谈: https://xz.aliyun.com/t/6487
  2. Windows驱动编程之键盘过滤杂谈: https://xz.aliyun.com/t/6581

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

最后于 2021-7-15 08:57 被一半人生编辑 ,原因:
收藏
点赞8
打赏
分享
最新回复 (9)
流浪者
雪    币: 7
活跃值: (1236)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
流浪者 2021-7-15 13:55
2
0
NetFilter SDK2.0有代码吗?
一半人生
雪    币: 5319
活跃值: (11730)
能力值: ( LV12,RANK:312 )
在线值:
发帖
回帖
粉丝
私信
一半人生 5 2021-7-16 13:45
3
0
流浪者 NetFilter SDK2.0有代码吗?
网上泄露版很多
TopC
雪    币: 6977
活跃值: (1775)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
TopC 2021-7-19 10:13
4
0
感谢分享
caolinkai
雪    币: 3645
活跃值: (3818)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
caolinkai 2021-7-26 10:55
5
0
一半人生 网上泄露版很多
根本 没有
值得怀疑
雪    币: 2656
活跃值: (3730)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
值得怀疑 2021-7-26 11:36
6
0
一半人生 网上泄露版很多
搜啥呢··NetFilter SDK 搜这个哪里有
caolinkai
雪    币: 3645
活跃值: (3818)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
caolinkai 2021-10-26 11:03
7
0
一半人生 网上泄露版很多
根本没有
foxkinglxq
雪    币: 411
活跃值: (1170)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
foxkinglxq 2023-5-29 00:58
8
0
有源代码吗?
@一语成谶
雪    币: 107
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
@一语成谶 2023-10-24 20:51
9
0
在WPM_LAYER_ALE_FLOW_ESTABLISHED_V4层可以获取到三环应用程序SOCKET的句柄或者SOCKET句柄对应的FILE_OBJECT吗?  我已经实现抓包,但实现发包功能,找不到对应的SOCKET句柄  或者在内核中怎么实现发包功能,有大佬能给指点迷津吗?
啤酒肚
雪    币: 97
活跃值: (141)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
啤酒肚 2023-12-28 06:33
10
0
感谢分享
游客
登录 | 注册 方可回帖
 回帖  表情 雪币赚取及消费
高级回复
返回