Windows驱动编程之NetFilterSDK

admin

101095
文章

87
评论

2021年12月15日03:44:07评论1,516 views字数 5958阅读19分51秒阅读模式

本文为看雪论坛优秀文章
看雪论坛作者ID：一半人生

Nfsdk源码网友口碑一直不错，梳理笔记分享。NetFilter SDK团队维护了多平台源码，本篇只介绍Windows平台。

官网：https://netfiltersdk.com

官网帮助：https://netfiltersdk.com/help/nfsdk2/

如果对Windows网络驱动没有概念，请先看：https://bbs.pediy.com/thread-268468.htm

源码分析

Netfilter sdk 2.0f主要分析三个模块，驱动，Dll和应用层。

编译环境：Wdk 2008/ wdk7600，win7/win10 x32x64

源码：泄露版v1.5.5.6(文章不提供，网上一堆)的socketRedirect示例。

R3/Nfapi:

1、 SocksRedirector.cpp.main入口分析:

For循环部分参数解析，eh则是EventHandler类负责规则和数据处理，Add_rule()函数负责添加规则。

2、Eh.Init函数负责Proxy的初始化：

3、Nf_init驱动初始化,数据初始化包括hash_tab链表和启动Work线程:

4、Work线程负责Event事件处理，并且阻塞在Read I/O数据，等待驱动返回数据，如下所示：

if (!ReadFile(g_hDevice, &rr, sizeof(rr), NULL, &ol)){    if (GetLastError() != ERROR_IO_PENDING)        goto finish;}

5、 HandleEvent负责处理来自内核捕获的传输层，网络层数据流，TCP/UDP-IP规则处理都可以在该类中，然后通过Nfapi.cpp接口将修改后的数据Write_IRP到驱动(注入)：

6、规则添加部分，这部分请具体参考官方说明，下面是bypass本地和UDP/TCP重定向规则添加：

    memset(&rule, 0, sizeof(rule));    rule.filteringFlag = NF_ALLOW;    rule.ip_family = AF_INET;    *((unsigned long*)rule.remoteIpAddress) = inet_addr("127.0.0.1");    *((unsigned long*)rule.remoteIpAddressMask) = inet_addr("255.0.0.0");    nf_addRule(&rule, FALSE);     // Filter UDP packets    memset(&rule, 0, sizeof(rule));    rule.ip_family = AF_INET;        //    rule.protocol = IPPROTO_UDP;    // UDP协议    rule.filteringFlag = NF_FILTER;    nf_addRule(&rule, FALSE);     // Filter TCP connect requests    memset(&rule, 0, sizeof(rule));//    rule.ip_family = AF_INET;    rule.protocol = IPPROTO_TCP;   // TCP协议    rule.direction = NF_D_OUT;//    rule.remotePort = htons(443);    rule.filteringFlag = NF_INDICATE_CONNECT_REQUESTS;    nf_addRule(&rule, FALSE);

7、规则中的Direction字段，NF_FILTER模式EventHandler类将负责处理过滤的数据包，NF_INDICATE_CONNECT_REQUESTS只会触发EventHandler类中的tcpConnectRequest函数(因为该事件只会调用一次虚函数)。

8、Add_rule通过Nfapi发送NF_REQ_ADD_HEAD_RULE /NF_REQ_ADD_TAIL_RULE来实现规则添加：

9、可以看到通过nf_postData和驱动进行数据传输，通过Write I/O将数据传入到驱动：

除了EventHandler类具体的操作，应用层主要初始化r3所需List_Buffer和Work事件处理线程，和驱动交互通过NfApi来Write_Irp控制驱动。

Driver:

1、DriverEntry首先初始化数据链表，dirver_init初始化devctrl_ioThread和devctrl_injectThread两个线程。

devctrl_ioThread主要用来处理驱动内部的事件处理，如数据包拷贝返回应用层等工作，devctrl_injectThread主要负责不同层数据包重新注入，r3修改完成数据包重新发送Send则会进入到该线程注入：

Devctrl_serviceReads函数中devctrl_fillBuffer如下：

Windows驱动编程之NetFilterSDK

如果是NF_TCP_REINJECT类型会调用devctrl_pushTcpInject，激活devctrl_injectThread事件处理。

2、框架注册Callout层梳理如下，注册了那么多子层为了满足传输层-网络层不通需求的数据拦截，通过应用层规则和标志位来使用驱动层数据即可：

recvSubLayer：    FWPM_LAYER_ALE_FLOW_ESTABLISHED_V4    IPPROTO_TCPFWPM_LAYER_ALE_FLOW_ESTABLISHED_V6    IPPROTO_TCP    FWPM_LAYER_STREAM_V4   FWPM_LAYER_STREAM_V6    FWPM_LAYER_OUTBOUND_TRANSPORT_V4   FWPM_LAYER_INBOUND_TRANSPORT_V6    FWPM_LAYER_ALE_ENDPOINT_CLOSURE_V4    IPPROTO_TCP     FWPM_LAYER_ALE_ENDPOINT_CLOSURE_V6    IPPROTO_TCPpConnectRedirectSubLayer:    FWPM_LAYER_ALE_CONNECT_REDIRECT_V4    IPPROTO_TCP     FWPM_LAYER_ALE_CONNECT_REDIRECT_V6    IPPROTO_TCP  recvPortSubLayer：    FWPM_LAYER_STREAM_V4    FWPM_LAYER_STREAM_V6 subLayer：    FWPM_LAYER_STREAM_V4    FWPM_LAYER_STREAM_V6    FWPM_LAYER_ALE_FLOW_ESTABLISHED_V4    IPPROTO_UDP     FWPM_LAYER_ALE_FLOW_ESTABLISHED_V6    IPPROTO_UDP     FWPM_LAYER_OUTBOUND_TRANSPORT_V4     FWPM_LAYER_INBOUND_TRANSPORT_V6     FWPM_LAYER_ALE_ENDPOINT_CLOSURE_V4      IPPROTO_UDP     FWPM_LAYER_ALE_ENDPOINT_CLOSURE_V6    IPPROTO_UDP     FWPM_LAYER_OUTBOUND_IPPACKET_V4     FWPM_LAYER_INBOUND_IPPACKET_V4     FWPM_LAYER_OUTBOUND_IPPACKET_V6     FWPM_LAYER_INBOUND_IPPACKET_V6 pUdpSubLayer：    FWPM_LAYER_DATAGRAM_DATA_V4        IPPROTO_UDP        FWPM_LAYER_DATAGRAM_DATA_V6        IPPROTO_UDP  pUdpConnectRedirectSubLayer:     FWPM_LAYER_ALE_CONNECT_REDIRECT_V4    IPPROTO_UDP     FWPM_LAYER_ALE_CONNECT_REDIRECT_V6    IPPROTO_UDP

其他更多层注册请参考MSDN;

https://docs.microsoft.com/zh-cn/windows-hardware/drivers/network/management-filtering-layer-identifiers

3、通过NfApi发送Write_Irp处理devctrl_dispatch派遣函数，控制码IRP_MJ_WRITE调用devctrl_write.devctrl_processRequest函数处理请求数据：

4、应用层Add_rule驱动中将规则解析加入全局g_lRules链表中，如下所示：

Windows驱动编程之NetFilterSDK

重定向

TCP重定向方法和TCP数据修改,客户端连接Server必要的几个步骤:

Create socket
Connect server
Send & Recv

WFP每个阶段都提供了对应的筛选器对应GUID，这个过程有很多重定向办法，比如Connect连接直接将目标IP进行重定向，也可以在stearm或者garmdata层(udp)做拦截block，重新注入层(改包)。

1、应用层Main添加了TCP重定向规则才会生效：

// Filter TCP connect requests    memset(&rule, 0, sizeof(rule));//  rule.ip_family = AF_INET;    rule.protocol = IPPROTO_TCP;    rule.direction = NF_D_OUT;//    rule.remotePort = htons(443);    rule.filteringFlag = NF_INDICATE_CONNECT_REQUESTS;    nf_addRule(&rule, FALSE);

2、驱动初始化的时候，会注册callout和过滤器(Driver中的第二步)，相关代码如下：

Dirver.callout.c：        status = callouts_addFlowEstablishedFilter(            &g_calloutGuids[CG_ALE_CONNECT_REDIRECT_V4],            &FWPM_LAYER_ALE_CONNECT_REDIRECT_V4,            pConnectRedirectSubLayer);        if (!NT_SUCCESS(status))        {            break;        }CG_ALE_CONNECT_REDIRECT_V4关联的回调函数

Callouts_connectRedirectCallout,如何处理连接操作如下：

首先参数检测，调用callouts_createFlowContext将句柄和五要素等数据，包括判断当前规则状态：

Windows驱动编程之NetFilterSDK

如果NF_INDICATE_CONNECT规则，push：NF_TCP_CONNECT_REQUEST标志：

Windows驱动编程之NetFilterSDK

devctrl_pushTcpData函数负责将保存的数据插入链表，激活g_ioThreadEvent事件如下：

Windows驱动编程之NetFilterSDK

Devctrl_ioThread()负责处理g_ioThreadEvent激活事件，如下：

void devctrl_ioThread(IN PVOID StartContext){  UNREFERENCED_PARAMETER(StartContext);   KdPrint((DPREFIX"devctrl_ioThreadn"));   for(;;)  {      KeWaitForSingleObject(          &g_ioThreadEvent,           Executive,           KernelMode,           FALSE,           NULL       );       if (devctrl_isShutdown())      {          break;      }       devctrl_serviceReads();  }   PsTerminateSystemThread(STATUS_SUCCESS);}

IRP_pakcet完成返回:

pResult->length = devctrl_fillBuffer();irp->IoStatus.Status = STATUS_SUCCESS;irp->IoStatus.Information = sizeof(NF_READ_RESULT);IoCompleteRequest(irp, IO_NO_INCREMENT);

应用层接收到驱动传递来的数据以后，其实激活了处理的事件:

通过事件调用EventHandler类的tcpCpnnectRequest函数，然后在应用层函数修改数据，通过nf_postData将数据包发送至驱动:
Windows驱动编程之NetFilterSDK