基于Filter-HookDriver(使用ipfirewallh)的IP過滤驱动.docVIP

[原创]基于Filter-HookDriver(使用ipfirewall.h)的IP过滤驱动 文章标题:[原创]基于Filter-HookDriver(使用ipfirewall.h)的IP过滤驱动顶部 fleshwound 发布于:2007-02-2716:02 [楼主][原创]基于Filter-HookDriver(使用ipfirewall.h)的IP过滤驱动 文章作者：fleshwound[smatrix]（fleshwound@126.com） 信息来源：邪恶八进制信息安全团队（） 注意：本文章首发安全矩阵（），后由原创作者友情提交到邪恶八进制信息安全团队。 IP过滤驱动可以广泛的应用于网络安全产品的研发，NDIS和TDI的驱动资料很多，有比较成熟的代码可以参考，但是使用IPFIREWALL.h开发的IP过滤驱动的资料非常少，这次自己做一个软件的时候参考VCKBASE上的一篇文章《开发Windows2000/XP下的防火墙》（作者：JesúsO）的基础上，写了一个驱动，代码都做了详细的注释了，只要稍微有点驱动设计基础的都可以看得懂，我把自己的特殊的回调函数去掉了，保留了基本的完整框架，牛人就不需要看了，初学者都可以在此基础上继续快速开发。 1SmatrixIPDiv.cpp文件 2protocol.h头文件 3SmatrixIPDiv.h头文件 Copycode /*Copyright(c)2007,安全矩阵（SecurityMatrix) *Allrightsreserved. * *文件名称：SmatrixIPDiv.cpp *文件标识：S *摘 要：IP过滤驱动，利用ipfirewall捕获包、分析包、过滤包 *开始时间：2006年12月26Ri * *当前版本：1.0 *作 者：fleshwound@126.com *相关信息： *完成Ri期：2007年1月2Ri */ externC { #includestdio.h #includestring.h #includestdlib.h #includentddk.h #includentddndis.h #includepfhook.h #includendis.h #includeipfirewall.h } #includeSmatrixIPDiv.h #includeprotocol.h /////////////////////////自定义函数的声明/////////////////////// //关闭打开驱动函数 NTSTATUSDispatchCreateClose(PDEVICE_OBJECTpDevObj,PIRPpIrp); //驱动卸载函数 voidDriverUnload(PDRIVER_OBJECTpDriverObj); //IO控制派遣函数（内核消息处理） NTSTATUSDispatchIoctl(PDEVICE_OBJECTpDevObj,PIRPpIrp); //向过滤列表中添加一个过滤规则 NTSTATUSAddFilterToList(CIPFilter*pFilter); //清除过滤列表 voidClearFilterList(); //注册钩子回调函数 NTSTATUSSetFilterFunction(IPPacketFirewallPtrfilterFunction,BOOLEANload); //包过滤函数 FORWARD_ACTIONFilterPacket(unsignedchar*PacketHeader, unsignedchar*Packet, unsignedintPacketLength, DIRECTION_Edirection, unsignedintRecvInterfaceIndex, unsignedintSendInterfaceIndex); //IP过滤器函数 FORWARD_ACTIONIPFilterFunction(VOID **pData, UINT RecvInterfaceIndex, UINT *pSendInterfaceIndex, UCHAR *pDestinationType, VOID *pContext, UINT ContextLength, structIPRcvBuf**pRcvBuf); //过滤列表首地址 structCFilterList*g_pHeader=NULL; //驱动内部名称和符号连接名称 #defineDEVICE_NAMEL\\Device\\DevS