基于NDIS(网络驱动接口标准)包拦截技术.docVIP

　　基于NDIS(网络驱动接口标准)包拦截技术～教育资源库 　　通常用户都知道，NDIS协议驱动程序是通过填写一张NDIS_PROTOCOL_CHARACTERISTICS的表，并调用NDIS API函数NdisRegisterProtocol进行注册。现在我们来关注一下NDIS_PROTOCOL_CHARACTERISTICS这张表，这张表中存有所有协议驱动程序与底层的派发函数的入口。如SendHandler,ReceiveHandler,BindAdapterHandler等， 　　当网卡有数据包进入时，会通过表中ReceiveHandle 或ReceivePacketHandler通知协议驱动程序有一个该协议的数据包进入，反之协议驱动程序是通过SendHandler或SendPacketsHandler函数向网卡驱动发送数据包到网络上去的，有人会奇怪程序中明明不是调用NdisSend或NdisSendPackets函数发送的吗?没错，是这样的，但是你可以看一下NDIS。H的头文件里对这两个函数的定义就知道了，他们都是一个宏定义实际并通过这表中SendHandler或SendPacketsHandler发送的。 　　现在我们所要做的事情应该很清楚了，只要我们能够将每一个协议程序所填写的NDIS_PROTOCOL_CHARACTERISTICS表里的派发函数指向自己的函数,我们就能成功的对数据包进行拦截。那么每个协议驱动程序的这张表到底存放在那里呢?看下面的对NdisRegisterProtocol重新给出的原型就很明白了。 struct_NDIS_PROTOCOL_BLOCK 　　{ 　　PNDIS_OPEN_BLOCKOpenQueue;//queueofopensforthisprotocol 　　REFERENCERef;//containsspinlockforOpenQueue 　　UINTLength;//ofthisNDIS_PROTOCOL_BLOCKstruct 　　NDIS50_PROTOCOL_CHARACTERISTICSProtocolCharacteristics;//handleraddresses 　　struct_NDIS_PROTOCOL_BLOCK*NextProtocol;//Linktonext 　　ULONGMaxPatternSize; 　　#ifdefined(NDIS_ediumMax+1]; 　　UTEXMutex;//ForserializationofBind/Unbindrequests 　　PKEVENTDeregEvent;//UsedbyNdisDeregisterProtocol 　　#endif 　　}; 　　typedefstruct_NDIS_PROTOCOL_BLOCKNDIS_PROTOCOL_BLOCK,*PNDIS_PROTOCOL_BLOCK; 　　EXPORT 　　VOID 　　NdisRegisterProtocol( 　　OUTPNDIS_STATUSStatus, 　　OUTPNDIS_PROTOCOL_BLOCKNdisProtocolHandle,/*注意NDIS_HANDLE所指向的就是PNDIS_PROTOCOL_BLOCK的结构，不要有什么怀疑。*/ 　　INPNDIS_PROTOCOL_CHARACTERISTICSProtocolCharacteristics, 　　INUINTCharacteristicsLength 　　); 　　NDIS_PROTOCOL_BLOCK(协议表) 是NDIS维护所有系统中已注册协义的单向链接表。字段NextProtocol指向下一个协议表。 　　庆幸的是，当我们注册一新的协议时，NDIS总是会把新注册的协义放在链表的头并返回这张表，所以只要我们注册一个新的协议通过新协议注册返回的链表头就可以轻而易举的遍历系统中所有协议表.现在我们所希望得到的每个协议的NDIS_PROTOCOL_CHARACTERISTICS表就放在我们面前了，如何勾挂表中的派发函数，我想不必多说了吧。顺便说一句NDISREGISTERPROTOCOL为NDIS_PROTOCOL_BLOCK所分配的内存是NonPagedPool类型的。对于核心DRIVER来说，核心区内存是一个线性的内存区，所有核心DRIVER是可以随便访问核心内存区的任意地址。所要注意的是不同IRQL级别下对分页和非分页内存。 　　有人会问这样就行了吗?真的拦截下来了吗?如果有那位仁兄心急现在就写程序的话，准会失望的，因为他会发现结果什么东西都没拦截到或偶而会拦截到一些数据包。为什么? 　　因为NDIS网卡驱动