vista核心态网络过滤研究.docVIP

Vista核心态网络过滤研究 文档制作人：bigbian Windows Vista(简称Vista)，是微软公司推出的最新的客户端操作系统，内部名称Windows NT 6.0。相对于Windows NT 5.x，其网络结构变化非常大，原有的TDI，NDIS系统挂接方法不再适用。在Vista系统中，微软引入了两种新的网络过滤系统，WFP和NDISfilter。由于WFP和NDIS系统十分庞大，本文从个人防火墙的技术需求出发详细叙述需要的技术细节，其他更多的内容，请参阅微软相关文档。 WFP (Windows Filtering Platform) WFP的体系结构如图所示 其包含从用户态到核心态的一系列应用层，根据需要可以在某一层设置回调函数拦截数据。 callout callout是WFP系统提供的扩展其功能的一种机制，callout由一组callout函数组成，每组有三种函数， ClassifyFunction，处理收到的网络数据，例如端口号IP地址等。NotifyFunction，处理加载、删除callout事件。 FlowDeleteFunction，删除层与层之间关联的上下文。 callout由callout驱动具体实现，每个驱动可以注册多个callout。 2、WFP的层和层数据 WFP有很多层,每一层分成若干子层，具体有哪些请参阅微软文档,我以FWPM_LAYER_ALE_FLOW_ESTABLISHED_V4层为例进行讲解。这层位于ALE层，是其子层之一。面向连接的应用程序准备连接，面向无连接的程序准备通信，都发生在这一层。如果在这里拒绝了上述操作，应用程序就不能访问网络，这类似以前的TDI程序的Create事件，就是应用程序访问网络的请求刚到协议栈还没有处理。WFP每一层都有其特定的数据，根据这些数据又有特定的过滤条件，例如这层包括FWPS_METADATA_FIELD_PROCESS_ID类型数据，这个类型由UINT64类型数据定义，表示和本次网络访问请求相关的进程ID，可是FWPS_LAYER_INBOUND_IPPACKET_V4层就不包括这一类型的数据，其实FWPS_LAYER_INBOUND_IPPACKET_V4已经到了IP层，这里进程ID已经没用了。因此在FWPM_LAYER_ALE_FLOW_ESTABLISHED_V4蹭可以以进程ID作为过滤条件，而到了FWPS_LAYER_INBOUND_IPPACKET_V4层就不能用进程ID作为过滤条件了。每一层都有哪些数据类型，根据这些数据有哪些过滤条件可用，请参阅微软的WFP文档层标识符等章节。 综上，WFP系统很像一个已经有了数据过滤引擎的防火墙，但是没有规则。我们编写用户层的程序给WFP引擎设置规则，编写核心态的callout驱动处理WFP抓到的网络数据包。根据微软的文档所示，WFP能够到达IP层，如果我们想进行MAC层的处理，就必须利用NDISfilter驱动。 应用WFP实现应用程序访问网络时提示 这是个人防火墙的基本功能之一，当有应用程序访问网络时询问用户是否允许。首先我们编写一个callout驱动，用来处理WFP抓到的网络数据。由于WFP抓到的数据只送到callout驱动不会送到用户层程序，所以这里必须用驱动根据数据判定放行还是阻止。Callout驱动向系统注册callout函数， FWPS_CALLOUT0 sCallout; sCallout.calloutKey = *calloutKey; sCallout.flags = flags; sCallout.classifyFn = ClassifyFunction; //在实例代码中是 MonitorCoFlowEstablishedCalloutV4 sCallout.notifyFn = NotifyFunction; sCallout.flowDeleteFn = FlowDeleteFunction; status = FwpsCalloutRegister0(deviceObject, sCallout, calloutId); FWPS_CALLOUT0结构用来组织一组callout函数，之后用FwpsCalloutRegister0函数注册。这里详细介绍下ClassifyFunction函数，这个函数主要处理网络数据包， NTSTATUS MonitorCoFlowEstablishedCalloutV4( IN const FWPS_INCOMING_VALUES0* inFixedValues,//WFP传进来的本层特有的数据 IN const FWPS_INCOMING_METADATA_VALUES0*