|
(中国黑客数据库)由于互联网发展的历史原因, TCP/IP 协议及 HTTP 、 FTP 等基于 TCP/IP 协议的各种应用层协议,在协议设计之初均未考虑安全传输问题。随着互联网的发展,国际标准组织虽陆续推出了 SSL 、 HTTP1.1 等具有安全传输能力的应用层协议,但作为应用层承载协议的 TCP/IP 协议仍存在着固有的安全缺陷,造成至今未能有彻底的、低成本的、不需硬件支持的互联网安全传输解决方案。正是由于网络传输安全问题的现实存在,推动着黑客攻击技术、防火墙技术的不断发展。
无论是黑客攻击技术还是防火墙技术,其实现均必须具备网络封包截获技术。黑客利用网络封包截获技术,侦听获取网络传输数据,并发起仿冒攻击、篡改攻击等;防火墙利用网络封包截获技术,截断式地或侦听式地获取通过本机的网络封包,进行安全策略捡择后,或放行、或拦截丢弃网络封包,以达到反攻击的目的。
一、概述
网络封包截获,涉及驱动编程技术、核心态编程技术、系统动态链接库编程技术、协议生成与解析编程技术等,集中体现了网络应用的核心技术,是防火墙等高级网络应用开发的基础。基于 Windows 2000 和 Windows XP 的网络封包截获技术主要分为三种: WinSock2 动态链接库重载、传输层过滤驱动、中间层驱动。
WinSock2 动态链接库重载 : 系统的 WinScok2 动态链接库( ..\system32\winsock.dll ),随系统启动而载入内存,提供 29 个用于网络传输的功能函数。 IE 等普通上层应用程序,调用 WinScok2 动态链接库中的 WSPSend 、 WSPRecv 等函数,实现网络收、发功能。修改注册表中 HKEY_LOCAL_MACHINE\SYSTM\CURRENTCONTROLSET\SERVICES\WinSock2 项,建立新的自定义 WSPStartup 入口函数,可以重载 winsock.dll 。通过重载 winsock.dll 中的有关网络收、发函数,增加网络封包收、发前、后的自定义处理功能,实现网络封包截获。公开源代码的费尔防火墙,使用了 WinSock2 动态链接库重载,实现网络封包的截获与安全解析。
传输层过滤驱动: 使用 NDIS ( Network Driver Interface Specification 网络驱动接口规范)技术,又称为 TDI 编程( Transport Driver Interface 传输层驱动接口编程 )。 Windows 2000 和 Windows XP 操作系统中, TCP/IP 协议作为系统驱动程序( ..\system32\TcpIp.sys ),在系统启动时加载入系统内存,以 TCP/IP 设备对象( DeviceObject )的形式供应用程序或其它系统程序调用。传输层过滤驱动程序创建一个或多个设备对象,直接挂接到 TCP/IP 设备对象之上。挂接成功后,当其它程序使用网络传输功能,调用 TCP/IP 设备对象时,操作系统首先将该调用映射到 TCP/IP 设备对象之上所挂接的传输层过滤驱动程序。通过传输层过滤驱动程序,再调用下层的 TCP/IP 设备对象,从而完成网络访问功能。同样,从 TCP/IP 层上传至应用程序的网络封包,也要经传输层过滤驱动程序后,再转发至目标应用程序端口。基于此工作原理,可以在传输层过滤驱动程序中实现网络封包截获,完成网络封包的过滤及加解密处理。公开原代码的 TcpIpDog.sys 及微软官方 2000 DDK 的 Packet.c 例程,使用传输层过滤驱动技术,实现了网络封包截获。
中间层驱动: 与传输层过滤驱动实现基本原理一致,也是使用 NDIS 技术。主要差别在于,中间层驱动程序,挂接在协议设备对象(包括 TCP/IP 设备对象)和网卡设备对象之间。任何进出网卡的网络封包,均必须首先经过中间层驱动程序的处理。从某种意义上分析,中间层驱动程序更象一个虚拟网卡。该虚拟卡封装了物理网卡,对物理网卡的一切网络访问操作,均必须先经虚拟卡处理。公开原代码的微软官方 2000 DDK 的 Passthru.c 例程,使用中间层驱动技术,实现了网络封包截获。
以上三种网络封包截获技术中, WinSock2 动态链接库重载、传输层过滤驱动截获网络封包不够彻底,均存在被绕开的技术可能,而 中间层驱动作用于协议层之下、物理网卡驱动层之上,与协议无关,对网络封包的截获最为彻底,基本不存在被绕开的技术可能,但也最具有技术难度。中间层驱动程序的技术难点主要体现为:
缺少公开的技术资料,基本无中文讲解资料、教材书籍。即使是 微软官方 2000 DDK 的 Passthru.c 例程,也仅公开了侦听式数据报头的截获方法与数据结构,而对 IRP ( I/O Request Packet 系统 I/O 请求包)结构未作进一步的公开。
与硬件相关性大。某种意义上,中间层驱动程序更象虚拟网卡,而网卡硬件性能的不一致,在中间层驱动程序中也必须有所体现。如,总线型网卡与非总线型网卡接收数据包的原理并不相同,就要求中间层驱动程序也必须同时考虑两种网卡的不同要求。
作用于协议层之下,必须手动解析各种传输协议,造成在中间层解析协议的技术难度较大。
编程与调试困难。驱动程序的编制与调试本身就极为困难,加之中间层驱动程序作用于网卡驱动程序之上,而基本不可能拥有网卡驱动的原程序,无法使用 So ftICE.exe 等调试工具加载网卡驱动的调试符号,加之网卡工作原理复杂,使得中间层驱动程序的调试较 USB 接口等一般硬件驱动程序调试更为困难。
由于以上原因,基于中间层驱动技术的网络通信产品,基本止于试验室内,止于项目定制式的产品,少有成熟的通用产品问世。而也正是由于中间层驱动程序的协议无关性、不可绕开性及存在的技术挑战性,吸引着包括黑客在内的大量精英程序员。
二、 NDIS 简介
NDIS 是 Network Driver Interface Specification (网络驱动程序接口规范)的缩写,为传输层提供了标准的网络接口。在 Windows 操作系统中,所有的应用程序都最终通过调用 NDIS 接口,实现网络访问。 NDIS 在操作系统中的结构如图一所示。
图一: NDIS 结构图
如图一所示, NDIS 支持 3 种类型的驱动程序:
传输层驱动程序 ( Protocol Drivers ): 对上层应用程序开放 TDI 接口,对下层驱动程序开放 Protocol 接口,与下层 Miniport 接口对接,实现协议驱动功能。严格意义上讲,传输层驱动与协议驱动尚有区别,但本文仅涉及 TCP/IP 协议,并不涉及本地介质认可的其它协议,为便于理解,而将传输层驱动、协议驱动简化为传输层驱动。
中间层驱动程序( Intermediate Drivers ): 位于物理网卡驱动程序(即微软官方所称的微型端口驱动程序)之上, 同时具备 Miniport 接口和 Protocol 接口,可与上、下层驱动程序对接,提供转发驱动功能。利用其位于物理网卡之上的转发功能,可以实现不可绕开的网络封包截获。
微型端口驱动程序( Miniport Drivers ): 对上层的中间层驱动程序开放 Miniport 接口,再通过 NDIS 接口完成对物理网卡的操作,实现对物理网卡的驱动功能。
三、开发工具简介
由于缺少教材性的中文资料,客观上造成理解、建立驱动程序开发环境有一定困难。许多对驱动开发感兴趣的程序员,往往是因为不能够正确理解和建立驱动程序开发环境,要么放弃了驱动程序研究,要么人为复杂化了驱动程序开发过程。笔者结合实际工作经验,在有关帮助文档之外,主要强调各种开发包的本质功能及相互关系。具体开发环境的建立步骤,特别是各种开发包的安装顺序,请参见有关开发包的帮助文档。
与 USB 接口驱动等其它驱动程序开发一样,中间层驱动程序开发也主要是利用微软提供的 Windows 2000 DDk 开发包,其中 DDK 是 Drivers Develop Kit 的简称。 DDK 提供了大量符合 Windows 操作系统 NDIS 接口规范的 C 语言函数,为驱动开发程序员提供了良好的开发接口。
鉴于 DDK 开发包理解和使用较为困难,许多第三方公司对 DDK 进行了不严格的面向对象的封装,为程序员在 VC++6.0 环境中使用面向对象的语言开发驱动程序,提供了更为友好的平台接口。其中影响较大,应用较为成功的是 Compware 公司的 DriverStudio 3.1 。特别是 DriverStudio 3.1 提供了封装类库的原代码(含注示),和常见的驱动例程,程序员不但可以参考其提供的驱动例程,而且可以通过修改现有的封装类库简化开发功能的实现,甚至能够生成自定义驱动类。同时, DriverStudio 3.1 还提供了开发向导功能,可以象使用 MFC 开发向导一样,通过向导功能自动生成大量难以编写的驱动公共模块,极大地减少了开发工作量,降低了开发难度。
VC++6.0 、 DriverStudio 3.1 、 Windows 2000 DDk 三种主要开发工具的关系可简述如下:
Windows 2000 DDk 是微软官方提供的 Windows 2000/XP NDIS 接口的具体 C 语言编程实现,是包括中间层驱动在内的各种驱动程序的核心开发包。
DriverStudio 3.1 是 Compware 公司提供的基于 Windows 2000 DDk 的开发包,其主要是对 Windows 2000 DDk 进行了不严格的面向对象的封装,并能够在安装过程中自动设置 VC++6.0 开发环境、自动设置系统环境变量,使程序员可以象调用 MFC 类库一样调用 DriverStudio 3.1 类库,可以使用面向对象的语言进行驱动程序开发,以降低开发难度。同时, DriverStudio 3.1 还提供了 Compware 公司的 SoftICE.exe 调试工具,以提高驱动程序调试效率。
通过 DriverStudio 3.1 的 DDK Build Setting 菜单功能调用 VC++6.0 ,能够自动设置环境参数,使 VC++6.0 能够编译链接至 DriverStudio 3.1 的类库文件,从而编译链接至 DDK 库文件,使 VC++6.0 成为驱动程序的最终开发平台。
四、中间层驱动程序模型分析
上文已简单地提到过中间层驱动程序位于 Miniport 和 Protocol 驱动程序之间,同时具有 Miniport 和 Protocol 两种驱动程序接口。具体来讲,中间层驱动程序在自己的上下两端分别开放出一个 Miniport 接口(对上)和 Protocol 接口(对下)。其中,位于中间驱动程序上面的 Miniport 接口,与上层驱动程序的 Protocol 接口对接;位于下面的 Protocol 接口,与下层驱动程序的 Miniport 接口对接。通过两种接口的使用,使得中间层驱动程序能够插入 Miniport 和 Protocol 驱动程序之间。
图二: NDIS 中间层驱动程序安装前后的对比结构示意
如图二所示,中间层驱动程序安装前,物理网卡驱动程序与传输层驱动程序进行直接通信,两者间通过 NDIS 接口完成网络封包传递;中间驱动程序安装后,网络封包经中间层驱动程序在物理网卡驱动程序、传输层驱动程序之间进行转发,从而使得中间层驱动程序具备了网络封包截获功能。
利用 NDIS 中间驱动程序,可以在网卡驱动程序和传输层驱动程序之间插入一层自定义处理,从而可以用来截获网络封包,并重新进行封包、加密、网络地址转换及过滤等操作。且由于中间层驱动程序位于网卡驱动程序和传输层驱动程序之间,可以截获较为底层的与协议无关的网络封包,可以完成更为底层的操作,编写网络安全软件的安全强度更有保证。
考虑到篇幅和水平所限,且考虑到 DriverStudio 3.1 开发向导能够自动生成大量中间层驱动的基础代码,本文不再对中间层驱动程序内部的 UML 模型展开深入分析,有兴趣的读者可参见 DriverStudio 3.1 帮助文档中的 DriverNetworks Help/Programing Guide/NDIS Drivers Framework/NDIS Intermediate Drivers Framework 的详细分析说明,且可参见 DriverStudio 3.1 目录 SOURCE 下的 DNW.dsw 中的 KndisLib Classes 进行原代码级的理解分析。在此,笔者特别强调,对 KndisLib Classes 进行原代码级的理解分析是打牢驱动程序开发技术基础、提高驱动程序开发能力的有效方法。
五、网络封包截获核心原代码分析
网络封包无外乎分为收、发两种封包,因此截获网络封包的理想位置应是发送封包之前,和接收封包之后。具体来讲,接收封包的截获位置,应位于物理网卡接收封包之后;发送封包的截获位置,应位于通过物理网卡发送封包之前。
DriverStudio 3.1 开发包提供了 OnReceive 和 OnSend 两个十分方便的虚函数。其中,物理网卡接收封包之后, NDIS 将调用 OnReceive 虚函数;通过物理网卡发送封包之前, NDIS 将调用 OnSend 虚函数。因此,只需在自开发的中间层驱动程序中实现这两个虚函数,加入自定义的封包处理方法,就能够很方便地实现网络封包截获处理功能。 DriverStudio 3.1 开发向导能够自动生成大量基础代码,甚至自动生成了空处理的 OnReceive 和 OnSend 两虚函数,程序员只要加以改写,就能够实现自定义的封包处理功能,极大地简化了开发过程。
但我们应注意到,中间层驱动程序位于传输层驱动程序或协议层驱动程序之下,因此就要求我们必须自编程实现协议的解析功能。之所以在此再次强调协议的解析,是因为 DriverStudio 3.1 开发包所提供的例程中,对 TCP/IP 协议的数据结构定义有误( TCP 包头长度的计算方法不正确),虽不影响该例程的正常编译和运行,但若在该例程基础上修改设计更完善的 TCP/IP 封包的截获程序,将会造成难以测试发现的漏包现象。
(一) TCP/IP 协议数据结构的定义
定义正确的协议数据结构,是实现协议解析,进而实现封包截获的基础。所谓协议数据结构,其实质是协议的包头数据结构,包体内是 HTTP 等应用层协议数据,无关于本文涉及的网络封包截获。任何有效的 TCP/IP 数据包均由包头数据和包体数据组成,其中包头包括以太帧数据头、 IP 数据头、 TCP 数据头;包体内包含应用层协议数据。
// Ethernet Packet Header
typedef struct _ETHERNET_HEADER {
UCHAR eth_dest[6]; // Destination address
UCHAR eth_src[6]; // Source address
union {
USHORT eth_len; // 802.3 length field.
USHORT eth_type; // Ethernet type field.
};
} ETHERNET_HEADER, *PETHERNET_HEADER;
// Internet Protocol (IP) Packet Header
typedef struct IP_HEADER
{
UCHAR iph_verlen; // Version and length
UCHAR iph_tos; // Type of service
USHORT iph_length; // Total datagram length
USHORT iph_id; // Identification
USHORT iph_offset; // Flags, fragment offset
UCHAR iph_ttl; // Time to live
UCHAR iph_protocol; // Protocol
USHORT iph_xsum; // Header checksum
ULONG iph_src; // Source address
ULONG iph_dest; // Destination address
} IP_HEADER, *PIP_HEADER;
// TCP Packet Header
typedef struct TCP_HEADER
{
USHORT tcph_src; // Source Port Number
USHORT tcph_dest; // Destination Port Number
ULONG tcph_seq; // Sequence Number
ULONG tcph_ack_seq; // Acknowlegdement Number
USHORT tcph_flags; // Flags
USHORT tcph_window; // Window
USHORT tcph_check; // Checksum
USHORT tcph_urgent; // Urgent pointer
UCHAR GetDataOffset() {
USHORT nLen=(tcph_flags & 0x 00f 0);// 例程中无此处理,造成标志字段高 4 位为全零(如 //tcph_flags=0x0270 )时, TCP 包头长度计算出错。 // 虽标志字段高 4 位为全零在正常收发封包过程中不 // 会出现,但在通过“三次握手”建立 TCP 连接和结 // 束 TCP 连接过程中,必然出现高 4 位为全零情况, // 进而造成在此过程中 TCP 包头长度计算错。一但 //TCP 包头长度计算错,可能引发进一步的异常。
return (nLen >> 4)*4;
}
} TCP_HEADER, *PTCP_HEADER;
(二) TCP/IP 协议解析函数的实现
在 TCP/IP 协议数据结构的定义的基础上,可根据项目开发需要实现协议解析功能函数。下文原代码中,主要实现了源 IP 地址、目的 IP 地址、源 TCP 端口号、目的 TCP 端口号、包头总长度的解析功能。现有的 DriverStudio 3.1 开发包例程和 Windows 2000 DDk 例程中,未能提供协议解析代码。因此,初学者应特别注意下文原代码中的移位计算。部分初学者就是因为对 VC 指针与协议中数据类型的对应关系理解不正确,或未进行移位处理,或移位处理不正确,均造成协议解析不正确,进而造成封包无法正确截获。
//Parse address in KNdistPacket
bool SecurityVirtualCardAdapter::GetAddr_OnRec(const KNdisPacket& Original, //Data packet
//Out parameters
ULONG *pIpScrAddr,ULONG *pIpDesctAddr,
USHORT *pTcpScrAddr,USHORT *pTcpDesctAddr,
ULONG *pPckHdLen)
{
//Return buffers count in the packet
UINT nBufCnt=Original.QueryBufferCount();
//Return the first buffer in the packet
KNdisBuffer Buf=Original.QueryFirstBuffer();
//Tests if the buffer is initialed correctly
if(!Buf.IsValid())
return false;
//Return the first buffer length
//KNdisBuffer::Length
// UINT Length( ) ;
// Gets the length.
//Length of the underlying buffer in bytes.
ULONG nBufLen = Buf.Length();
//Return TCP packet header length
ULONG nHdrLen=sizeof(ETHERNET_HEADER)
+sizeof(TCP_HEADER)
+sizeof(IP_HEADER);
if(nHdrLen>nBufLen)
return false;
//KNdisBuffer::Address
// PVOID Address( ) ;
// Gets the virtual address.
//Virtual address of the first byte of the buffer, or NULL if an error has occurred.
PETHERNET_HEADER pEthHdr = (PETHERNET_HEADER) Buf.Address();
//Return false if ethernet packet is not IP protocol
if(pEthHdr->eth_type!=ETH_TYPE_IP)
return false;
//Return false if not TCP protocol
PIP_HEADER pIpHdr=(PIP_HEADER)((PCHAR)pEthHdr+sizeof(ETHERNET_HEADER));
if(pIpHdr->iph_protocol!=IP_PROTOCOL_TCP)
return false;
//Get IP address
ULONG srcIp=pIpHdr->iph_src;
*pIpScrAddr=((srcIp&0xff)<<24)+
((srcIp&0xff00)<<8)+
((srcIp&0xff0000)>>8)+
((srcIp&0xff000000)>>24);
ULONG destIp=pIpHdr->iph_dest;
*pIpDesctAddr=((destIp&0xff)<<24)+
((destIp&0xff00)<<8)+
((destIp&0xff0000)>>8)+
((destIp&0xff000000)>>24);
//Get TCP port number and TCP packet header length
PTCP_HEADER pTcpHdr=(PTCP_HEADER)((PCHAR)pIpHdr+sizeof(IP_HEADER));
UCHAR nTcpPckHdLen=pTcpHdr->GetDataOffset();
USHORT scrPort=pTcpHdr->tcph_src;
*pTcpScrAddr=((scrPort&0xff00)>>8)+((scrPort&0x00ff)<<8);
//TRACE("GW Rec Source TCP port=%d\n",*pTcpScrAddr);
USHORT desctPort=pTcpHdr->tcph_dest;
*pTcpDesctAddr=((desctPort&0xff00)>>8)+((desctPort&0x00ff)<<8);
//TRACE("GW Rec Desct TCP port=%d\n",*pTcpDesctAddr);
//Return packet header length
*pPckHdLen=sizeof(ETHERNET_HEADER)+sizeof(IP_HEADER)+nTcpPckHdLen;
return true;
}
(三) OnReceive 虚函数的实现
根据物理网卡工作方式的不同,接收封包方式主要有全包接收方式和部分接收方式。其中,全包接收方式对应于总线型网卡,网卡收到封包后, NDIS 将一次性把完整的封包提交至 OnReceive 虚函数;部分接收方式对应于非总线型网卡,网卡收到封包后, NDIS 将先把封包的一部分提交至 OnReceive 虚函数,上层程序根据封包的一部分判断是否同意接收,若同意接收网卡将再次提交封包的其它部分,若不同意接收网卡则丢弃该封包。相对应于以上两种接收方式, DriverStudio 3.1 开发包也提供了 OnReceive 虚函数的两种形式:
NDIS_STATUS SecurityVirtualCardAdapter::OnReceive
(const KNdisPacket& Original, KNdisPacket& Repackaged)// 对应于全包接收方式
NDIS_STATUS SecurityVirtualCardAdapter::OnReceive
(IN OUT KNdisPartialPacket& PacketToAccept,
IN PVOID HeaderBuffer, IN UINT HeaderBufferSize,
IN PVOID LookAheadBuffer, IN UINT LookaheadBufferSize,
IN UINT PacketSize)// 对应于部分接收方式
全包接收方式下的 OnReceive 虚函数的实现较为简单,且与 OnSend 虚函数的实现原理完全一致,开发包例程中有详细参考,本文“ OnSend 虚函数的实现”也将有原代码展示,因此下文原代码将仅涉及部分接收方式下的 OnReceive 虚函数的实现。
部分接收方式下,若在中间层程序程序中对全包进行处理,按照 DriverStudio 3.1 的帮助说明,将需要进行私有包池的建立和管理,编程复杂、调试难度大。笔者研究测试发现,在 Windows 2000/XP/2003 下,由于操作系统对网卡缓存管理有相当好的连续性,完全可以经计算后,通过部分接收包的指针获得全包指针。简而言之,在 Windows 2000/XP/2003 下,可以通过指针位置计算后,采用全包接收处理方式对部分接收进行全包处理,从而极大地降低了部分接收方式的中间层驱动程序开发难度。指针位置计算的关键,是在部分包缓存区中忽略以太帧头。
具体原代码如下(为补充上文的协议解析功能,其中涉及了包头中其它字段的解析):
NDIS_STATUS SecurityVirtualCardAdapter::OnReceive
(IN OUT KNdisPartialPacket& PacketToAccept,
IN PVOID HeaderBuffer, IN UINT HeaderBufferSize,
IN PVOID LookAheadBuffer, IN UINT LookaheadBufferSize,
IN UINT PacketSize)
{
PETHERNET_HEADER pEthHd=(PETHERNET_HEADER)HeaderBuffer;
PIP_HEADER pIpHd=(PIP_HEADER)((PUCHAR)HeaderBuffer+sizeof(ETHERNET_HEADER));
PTCP_HEADER pTcpHd=(PTCP_HEADER)((PUCHAR)HeaderBuffer+
sizeof(ETHERNET_HEADER)+
sizeof(IP_HEADER));
USHORT nEthType=pEthHd->eth_type;
UCHAR nProtocol=pIpHd->iph_protocol;
if(nEthType!=ETH_TYPE_IP||nProtocol!=IP_PROTOCOL_TCP)
{
//TRACE("Not TCP/IP");
UNREFERENCED_PARAMETER(PacketToAccept);
return NDIS_STATUS_SUCCESS;
}
ULONG nScrIpAddr=pIpHd->iph_src;
ULONG nDestIpAddr=pIpHd->iph_dest;
USHORT nScrPort=pTcpHd->tcph_src;
USHORT nDestPort=pTcpHd->tcph_dest;
USHORT nTcpHdLen=pTcpHd->GetDataOffset();
nScrIpAddr=((nScrIpAddr&0xff000000)>>24)+
((nScrIpAddr&0x00ff0000)>>8)+
((nScrIpAddr&0x0000ff00)<<8)+
((nScrIpAddr&0x000000ff)<<24);
nScrPort=((nScrPort&0xff00)>>8)+((nScrPort&0x00ff)<<8);
nDestIpAddr=((nDestIpAddr&0xff000000)>>24)+
((nDestIpAddr&0x00ff0000)>>8)+
((nDestIpAddr&0x0000ff00)<<8)+
((nDestIpAddr&0x000000ff)<<24);
nDestPort=((nDestPort&0xff00)>>8)+((nDestPort&0x00ff)<<8);
if(!IsEncrypt(nScrIpAddr,nDestIpAddr,nScrPort,nDestPort))
{
//TRACE("Submit not encrypt packet");
UNREFERENCED_PARAMETER(PacketToAccept);
return NDIS_STATUS_SUCCESS;
}
TRACE("******** Receive partial *************");
TRACE("HeaderBufferSize=%d",HeaderBufferSize);
TRACE("PacketSize=%d",PacketSize);
TRACE("LookaheadBufferSize=%d",LookaheadBufferSize);
TRACE("pHeaderBuffer=0x%0x",HeaderBuffer);
TRACE("pLookAheadBuffer=0x%0x",LookAheadBuffer);
TRACE("Source=%d.%d.%d.%d:%d",(nScrIpAddr&0xff000000)>>24,
(nScrIpAddr&0x00ff0000)>>16,
(nScrIpAddr&0x0000ff00)>>8,
(nScrIpAddr&0x000000ff),
nScrPort);
TRACE("Dest=%d.%d.%d.%d:%d",(nDestIpAddr&0xff000000)>>24,
(nDestIpAddr&0x00ff0000)>>16,
(nDestIpAddr&0x0000ff00)>>8,
(nDestIpAddr&0x000000ff),
nDestPort);
TRACE("////// TCP Pakcet Header ///////");
ULONG nSeq=pTcpHd->tcph_seq;
nSeq=((nSeq&0xff000000)>>24)+
((nSeq&0x00ff0000)>>8)+
((nSeq&0x0000ff00)<<8)+
((nSeq&0x000000ff)<<24);
ULONG nAck=pTcpHd->tcph_ack_seq;
nAck=((nAck&0xff000000)>>24)+
((nAck&0x00ff0000)>>8)+
((nAck&0x0000ff00)<<8)+
((nAck&0x000000ff)<<24);
USHORT nFlags=pTcpHd->tcph_flags;
USHORT nWin=pTcpHd->tcph_window;
TRACE("Seq=0x%0x",nSeq);
TRACE("Ack=0x%0x",nAck);
TRACE("Flags=0x%0x",nFlags);
TRACE("Win=0x%0x",nWin);
TRACE("///////////////////////");
PUCHAR pLook=(PUCHAR)LookAheadBuffer;
USHORT nIpandTcpHdLen=sizeof(IP_HEADER)+nTcpHdLen;
if(PacketSize<(UINT)(nIpandTcpHdLen+7))
{
TRACE("Submit no Encrypt packet");
UNREFERENCED_PARAMETER(PacketToAccept);
return NDIS_STATUS_SUCCESS;
}
//LookaheadBufferSize
for(USHORT i=0;i<PacketSize;i++)
{
if(i>nIpandTcpHdLen-1)
{
UCHAR test=pLook[i];
TRACE("Look[%d]=(0x%0x,%c)->(0x%0x,%c",i,test,test,pLook[i],pLook[i]);
}
}
UNREFERENCED_PARAMETER(PacketToAccept);
return NDIS_STATUS_SUCCESS;
}
(四) OnSend 虚函数的实现
OnReceive 虚函数的实现相对较为简单, DriverStudio 3.1 提供了详细例程及说明,本文不再详细分析,仅列出自编写的原代码。
NDIS_STATUS SecurityVirtualCardAdapter::OnSend
(const KNdisPacket& Original, KNdisPacket& Repackaged)
{
NDIS_STATUS Status = NDIS_STATUS_SUCCESS;
ULONG IpScrAddr=0,IpDesctAddr=0;
USHORT TcpScrAddr=0,TcpDesctAddr=0;
ULONG PckHdLen=0;
ULONG *pIpScrAddr,*pIpDesctAddr;
USHORT *pTcpScrAddr, *pTcpDesctAddr;
ULONG *pPckHdLen;
pIpScrAddr=&IpScrAddr;
pIpDesctAddr=&IpDesctAddr;
pPckHdLen=&PckHdLen;
pTcpScrAddr=&TcpScrAddr;
pTcpDesctAddr=&TcpDesctAddr;
if(GetAddr_OnSend(Original,
pIpScrAddr,pIpDesctAddr,
pTcpScrAddr,pTcpDesctAddr,
pPckHdLen))// 判断是否是须加密处理的封包
{
TRACE("----- Send Encrypt -----");
Repackaged.CloneDown(Original);// 开发包提供的向下复制封包方法
EncryptPacket_OnSend(Repackaged,*pPckHdLen);// 自定义的加密处理函数
TRACE("----- Send Encrypt End -----");
return Status;
}
else
{
Repackaged.CloneDown(Original);
return Status;
}
}
|
