一个简单的tcp filter的例子
来源:华中白云黄鹤BBS
作者:huyuguang
这两天版面日渐萧条,我只好硬着头皮把我自己的一个尚在开发,非常不成熟
的东西拿出来了。
前面我曾经就网络加密这个议题讨论过,那个时候我提出的方法是imd,
9x下就是利用hook_device_service,用这些方法的一个好处就是,接收数据
比较低层,直接得到的就是mac数据,而且可以知道是哪块网卡上来的,而且,
可以加密各种数据帧,ipx,ip什么的都不在话下。因为我所遇到的加密环境和要求,
几乎都是要求对tcp加密,在这种情况下,做在imd上的话,显然会降低ipx或者icmp
之类的非加密数据包的效率。因此以前我就考虑在tcp 上做一个filter,直接加密tcp
的数据。
正好在mark的站点上新出来一个小工具,叫做tdimon,工具很好,可以看到各个进程
的通讯状态。可惜的是1.没有源代码,2.free版本不能得到数据内容。有这两点限制,这个
工具就只能当作玩具。正好那个时候我比较闲,就花了点时间做了一个类似的工具。
关于FILTER,art baker的书里说得很详细,我做的时候基本上也就是根据这本书上来的,
做tcp的filter,和做别的设备的filter,没什么区别,但是不同是由于不知道tcp是如何
和别的设备(tdi clinet)通讯的,所以必须仔细看tdi的规范。
我先描述一下2000/nt下的tcp/ip协议的一些情况。2000/nt下,ip,tcp,udp是在
一个驱动程序里实现的,叫做tcp.sys,这个驱动程序创建了3个设备,就是ip,tcp,udp。
首先描述一下driverentry。首先当然是iocreatedevice,用file_device_unknown,
因为tcp设备就是用的这个参数。代码如下:
RtlInitUnicodeString( &usDeviceName, FILTER_NAME );
status = IoCreateDevice( DriverObject,
sizeof(DEVICE_EXTENSION),
&usDeviceName,
FILE_DEVICE_UNKNOWN,
0,
FALSE,
&pDevObj );
然后就调用iogetdeviceobjectpointer来得到tcp设备的指针。
代码如下:
RtlInitUnicodeString( &usTargetName, TARGET_NAME );
status = IoGetDeviceObjectPointer( &usTargetName,
FILE_ALL_ACCESS,
&pTargetFileObj,
&pTargetDevObj );
注意TARGET_NAME是大小写区分的,我是用#define TARGET_NAME L"\\Device\\Tcp",
不能写成#define TARGET_NAME L"\\Device\\tcp"。
然后我们就开始调用IoAttachDeviceToDevieStatck插入到tcp设备。
调用完成后,我们要让我们的设备表现的和tcp一样,于是把它的所有
特性都从tcpobj复制(pdevobj->xxx=ptcpobj->xxx)。
再扫描他tcpdriverobject的majorfunction,我们的driver必须都
支持。最后设置driverunload,因为为了方便调试,我们必须写一个
unload。
前面已经讲过driverentry了,经过driverentry,所有的原来应该发送到
tcp设备的irp现在都发送到我们的设备的处理函数了,如果什么事情都不做,
那么可以简单的调用iocalldriver把这个irp发到tcp设备去让它处理。
当然,我们是要做些事情的,于是代码如下:
UCHAR MajorFunction,MinorFunction;
PDEVICE_EXTENSION pDevExt = (PDEVICE_EXTENSION) DeviceObject->DeviceExtension;
PIO_STACK_LOCATION pIrpStack = IoGetCurrentIrpStackLocation( Irp );
MajorFunction = pIrpStack->MajorFunction;
MinorFunction = pIrpStack->MinorFunction;
file://DBGPRINT( ...)
ParseIrp(Irp);
IoCopyCurrentIrpStackLocationToNext( Irp );
IoSetCompletionRoutine( Irp,
CompletionRoutine,
NULL, // context
TRUE, // InvokeOnSuccess
TRUE, // InvokeOnError
TRUE ); // InvokeOnCancel
return IoCallDriver( pDevExt->TargetDevObj, Irp);
代码很简单,除了parseirp之外,其他都是例行公事。对于tcp设备的前期处理
就在这个函数里。后期处理的函数可以放在completionroution里。
好了,我们已经得到了发向tcp设备的所有irp了,这个时候我们的任务就是要了解
tcp设备到底是如何工作的.
我们的任务是要得到本机发送出去的tcp数据和接受的tcp数据。当然前提是发送数据
通过tcp设备,如果某些应用程序用packet.sys之类的协议driver,直接发送tcp数据,
这种情况下数据不经过tcp设备,filter也就无从得到了。
为了了解如何从发向tcp设备的irp中得到信息,首先我先描述一下tdi client是如何
与tcp通讯以及tdi client一般是如何工作的。
driverstdio里面有好几个例子都是关于tdi client的,但是这些例子都是基于它自己
的类库的,不过这些例子功能都很强大,其中一个usb+web的温度计的创意简直让我目瞪口呆。
因为我也做过pci温度计的driver,但是我从来就没有想到还可以加上一个web server在里面。
因为driverstdio里的例子太复杂,我在这里简单描述一下,给一个小例子。
因为发送过程较为简单,先描述发送。
首先调用pIrp = TdiBuildInternalDeviceControlIrp (
TDI_SEND_DATAGRAM, // sub function
pDeviceObject, // pointer to device object
pTransportObject, // pointer to udp object
NULL, // pointer to event
NULL ); // pointer to return buffer
分配一块irp,然后调用
TdiBuildSendDatagram (
pIrp, // pointer to irp
pDeviceObject, // pointer to device object
pTransportObject, // pointer to file object
NULL, // completion routine
NULL, // completion context
pMdl, // pointer to data
dBufferSize, // size of data
pConnectInfo ); // connection information
不用我说也应该知道,数据是放在一个buf里面,调用这个函数之前,要先构件一个mdl,把这个buf
放进去。
然后...irp已经好了,只要IoCallDriver(pUDPObject,PIrp)就行了...
上面用的是UDP的例子(Datagram),但是tcp也是一样,虽然函数有点差别,但是也是大同小异(TdiBuildSend)。
为了搞清楚上面的两个函数到底做了些什么(到底构建的irp是什么样子),没有必要去跟踪,实际上,tdibuildxxx
都不过是一个宏,你可以在tdikrnl.h里找到。打开tdikrnl.h看看,发现每个宏里都有这么一句:
_IRPSP->MajorFunction = IRP_MJ_INTERNAL_DEVICE_CONTROL;
于是我们知道tdi client就是通过majorfunction=IRP_MJ_INTERNAL_DEVICE_CONTROL,minorfunction=send/recv/...
和tcp通讯的。这就使得我们确信,这种方法是可行的。(不是直接调用tdi函数,而是发irp)
接收的过程较为复杂(tdi client的选择较多,因此要考虑各种情况)
开始的时候,我在ddk document里看到这么一个宏:tdibuildreceive,我想ok,
和send一样,我当时想的很简单,以为tdi client要接受数据了,它就向tcp发一个
irp,然后返回pending,当有数据来的时候,tcp处理完这个irp,然后tdi client只要在这个irp的
irp_complete里处理得到的数据就行了。这的确是tdi client的一个选择,但是
当我试验的时候,我发现至少wsock不是这样做的,因为我打开了一个ie,浏览了一个网页,
但是我发现我发出的数据都很好的捕获到了,但是接收的数据一个也没有,而且事实上,
tcp似乎就没有受到minorfunction=tdi_receive的irp。我因为这件事苦恼了一段时间,
后来我仔细的读了读ddk document,发现tdi client还有第2种选择,首先向tcp发送一个
irp,minorfunction=tdi_sethandler,设置一些回调函数,然后当事情发生的时候,tcp
就会调用这些回调函数,这些函数名字是clientEventxxx。这个过程可以仔细看ddk document,
看TdiBuildSetEventHandler,就知道哪些过程可以用这个方法。receive也是其中的一个,于是
我们的方法得到了。首先我们得到了irp,如果是set_eventhandler,那么就修改tdi client
向tcp设置的回调函数的入口,把它指向我们自己写的一个函数,同时保留原来的入口,
然后在我们自己写的函数里里调用它。
代码如下:
PIO_STACK_LOCATION pIrpStack = IoGetCurrentIrpStackLocation( Irp );
MajorFunction = pIrpStack->MajorFunction;
MinorFunction = pIrpStack->MinorFunction;
FileObject = pIrpStack->FileObject ;
....
switch(MajorFunction)
{
...
case IRP_MJ_INTERNAL_DEVICE_CONTROL :
{
switch(MinorFunction)
{
...
case TDI_SET_EVENT_HANDLER:
pRequestSetEvent = (PTDI_REQUEST_KERNEL_SET_EVENT)(&(pIrpStack-> Parameters.DeviceIoControl)) ;
EventType=pRequestSetEvent->EventType;
EventHandler=pRequestSetEvent->EventHandler;
EventContext=pRequestSetEvent->EventContext;
...
switch(EventType)
{
...
case TDI_EVENT_RECEIVE :
pRequestSetEvent->EventHandler = OurClientEventReceive;
g_EventReceive = EventHandler;
break;
...
值得注意的是,就算是set_eventhandler,也不一定就是tdi_event_receive里接受数据,
这个tdi_client的选择很多,还有ClientEventChainedReceive 什么的,详情可看ddk,
winsock似乎都是没有用过这个。不过这个不影响,我们可以把ddk里面所有可能的情况
全部列出来,一一判断,然后分别处理。对于clienteventreceive,这里还有几句话要说
清楚,并不是每次调用这个函数就得到了数据,这还要根据ReceiveFlags参数,tdi client
要根据这个参数决定是否要发tdi_receive irp得到数据。于是我们的处理函数就要判断这个
参数,以便做出相应的处理,我自己的代码在实际的环境中运行了一段时间,似乎没有问题,但是
我也不敢说,对于各种情况我都考虑到了。