NDIS网络驱动程序-----

最新推荐文章于 2025-04-11 23:34:25 发布
最新推荐文章于 2025-04-11 23:34:25 发布
阅读量2.3k 收藏 2
点赞数
分类专栏: Windows 文章标签: 网络 socket 微软 编程 数据结构 工作

from:http://blog.sina.com.cn/s/blog_61d65e360100waop.html

NDIS网络驱动程序-----学习(一)

(2011-08-15 21:48:14)
转载
  
NDIS网络驱动程序学习(一)

关于网络编程,大家用的比较多的就是SOCKET。其中呢,SOCKET分TCP,UDP,原始套接字。
当然,TCP,UDP套接字是大家用的最多的,也是最常见的。也是学起来最简单的。
而微软向来不是很喜欢让我们付出很少的努力就能够实现很imba的功能,因此我们的编程受到了很大的限制,比如说我想构建自己的IP包。不过呢,微软还是提供了我们实现相关功能的接口,那就是原始套接字。很明显,原始套接字相比就稍微难一些,但是却能够实现很多令人赞赏的功能,比如DDOS攻击工具等等。
令人失望的是,原始套接字也只能让程序员封装到IP头就限制住了,因此你无论如何无法通过原始套接字构建ARP攻击包!无法编写出嗅探器。而这些应用往往是我们最喜欢的。因此就只能去学了。
(Iphlpapi.dll动态库里包含一些函数,能够实现一些比较实用的功能。具体自己去探索。)
既然用户层能干的事情太少,那么我们有必要进入内核层。这样我们就可以为所欲为了。不过呢,你还得时刻惦记着微软,也就是说,你在编程的时候必须符合微软的规范。就内核层而言,微软只提供了我们2个规范,分别是TDI和NDIS。
TDI(网络传输层接口)其实是一套规范。用户层调用SOCKET的相关函数,最终都会转变成afd.sys里的相关函数被调用。(和CreateFile----NtCreateFile道理一样)而我们知道,我们使用SOCKET的时候只会提供需要发送的数据,而系统会有一系列的封包操作,这些封包操作代码被封装在Tcpip.sys中。因此afd.sys中的内核函数都会和TCPIP.SYS打交道。另外,在系统中,NetBios.sys也会跟TCPIP.SYS打交道,那么就需要统一一下“打交道”的方式,用一个“白皮书”来规范这些行为。这样一来,TDI诞生了。
关于TDI,我们不打算去研究,现在把精力集中到NDIS上。
那么什么是NDIS呢?其实它也是一套规范,一套相当复杂的规范,另一方面,微软为了维持这样一个规范,就必须有一个模块来管理和监督此规范的实行情况,因此,你还可以把NDIS理解成管理器。它和I/O管理器一个德行。你完全可以用理解I/O管理器的方式理解NDIS管理器。
既然是规范,那么NDIS究竟想规范谁呢?答案是(从上层到下层):协议驱动,中间层过滤驱动,小端口驱动。
关于协议驱动,我们已经有所涉及,就是上面提及的TCPIP.SYS。从网络七层模型来看的话,此驱动程序做了很多事情,涉及到N多层的封包工作。当然,你也可以编写一个自己的协议驱动程序,只要有足够的想象力,你可以构建任意的包。这确实是一个很好的消息,因为此时此刻你再也没有限制了,你可以构建一个ARP攻击包!
中间层过滤驱动在协议驱动和小端口驱动之间,可以截获他们之间所有的数据。因此过滤驱动往往可以做防火墙,网络透明加密等工作。
小端口驱动主要和网卡硬件打交道,直接控制网卡(但很多时候这也不是必须的),以后会详解。
可以发现,这3类驱动之间总是有着千丝万缕的联系,比如协议驱动封包后就必须靠小端口驱动发出去,同时小端口从网络上接收到数据包后也必须发给协议驱动并一步步传递到应用层。那么他们之间的交流也必须符合一定的规范。OK,这就是NDIS规范。
下一节开始,我们就来分别介绍这3类驱动。

NDIS网络驱动程序-----学习(二)

(2011-08-27 14:11:14)
转载
  
NDIS网络驱动程序学习(二)---NDIS协议驱动


什么是NDIS驱动呢?符合微软NDIS规范的,被NDIS管理器所管理的驱动程序,我们就叫它NDIS驱动。而NDIS协议驱动就是其中的一种类型。
所谓的符合NDIS规范的意思就是,你在编程的时候,要符合特定的编程规范,比如使用NDIS开头的API函数等等。那么如何才能接受NDIS管理器的管理呢?很简单,你只要注册就成了。注册的目的就是告诉操作系统,我这个驱动就是NDIS协议驱动了,以后呢,需要你NDIS管理器多多关照。和I/O管理器理解是一样的。
现在开始代码的分析部分。以寒江独钓里的代码为主。
在DriverEntry里的代码比较简单,一共做了2个比较重要的事情。
1,注册了一个设备,并指定了分发函数,这样为应用层留下了控制此驱动程序的机会。
2,注册自身为NDIS协议驱动。 现在分析具体细节

protocolChar.MajorNdisVersion = 5;
protocolChar.MinorNdisVersion = 0;
protocolChar.Name = protoName;
protocolChar.OpenAdapterCompleteHandl er = NdisProtOpenAdapterCompl ete;
protocolChar.CloseAdapterCompleteHand ler = NdisProtCloseAdapterComp lete;
protocolChar.SendCompleteHandler = NdisProtSendComplete;
protocolChar.TransferDataCompleteHand ler = NdisProtTransferDataComp lete;
protocolChar.ResetCompleteHandler = NdisProtResetComplete;
protocolChar.RequestCompleteHandler = NdisProtRequestComplete;
protocolChar.ReceiveHandler = NdisProtReceive;
protocolChar.ReceiveCompleteHandler = NdisProtReceiveComplete;
protocolChar.StatusHandler = NdisProtStatus;
protocolChar.StatusCompleteHandler = NdisProtStatusComplete;
protocolChar.BindAdapterHandler = NdisProtBindAdapter;
protocolChar.UnbindAdapterHandler = NdisProtUnbindAdapter;
protocolChar.UnloadHandler = NULL;
protocolChar.ReceivePacketHandler = NdisProtReceivePacket;
protocolChar.PnPEventHandler = NdisProtPnPEventHandler;

上面这一堆,是我们需要关心的,说明如下:(讲解顺序是乱的,也必须乱)
1,告诉系统,本协议驱动使用的是哪个版本的NDIS,可以发现,我们现在使用的是5.0版本。需要说明的是,不同版本的回调函数并不相同,上面列举的回调函数是5.0版本所规定的。但是呢,高版本的NDIS管理器是支持低版本的NDIS驱动的,因此完全没有必要担心5.0的驱动不能用在6.0版本的NDIS系统上。
2,BindAdapterHandler:这个回调函数在什么时候调用呢?当一个真实网卡插入电脑后被小端口驱动识别并生成了一个“网卡设备”的时候,或者小端口驱动生成了一个“虚拟网卡设备”后,NDIS管理器调用这个回调函数来让NDIS协议驱动有机会来绑定被小端口驱动创建的“网卡设备”。以后呢,我们会称呼这些“网卡设备”为“实例”。
3,OpenAdapterCompleteHandler:当一个“实例”出现后,协议驱动都会去绑定它,那么很明显,绑定操作也是有个过程的,而系统内部很多时候都是异步模式。这个回调函数的作用就是:当协议驱动调用NdisOpenAdapter来进行绑定后,当绑定成功了,NDIS管理器会调用这个回调函数来通知此协议驱动已经绑定完成。
4,SendCompleteHandler:在协议驱动中可以调用NdisSendPackets来进行对数据包的发送。那么,发送数据包也是会有个过程的,和上面理解是一样的,此回调也是作为完成通知存在的。为什么没有发送回调呢?呵呵,发送操作本来就是“主动”的。没有必要和意义存在所谓的发送回调!
5,NdisProtCloseAdapterComplete:同理,当协议驱动调用NdisCloseAdapter来解除绑定的时候,作为解除成功的通知,此回调函数必须存在。
6,ReceiveHandler和ReceivePacketHandler:当NDIS管理器发现小端口“实例”有数据包到来了,那么这2个函数就会被调用。至于调用哪一个,下面详细分析。
7,UnbindAdapterHandler:当机器上一个物理网卡被拔出,或者小端口生成的“虚拟网卡”被消除,那么NDIS管理器会调用此回调函数来让协议驱动有机会来解除对这个网卡实例的绑定。通常,这个回调函数里会调用NdisCloseAdapter。并且呢,当解除绑定成功后,NDIS还会调用NdisProtCloseAdapterComplete来让协议驱动知道已经解除绑定成功。
8,其他的一些回调理解起来并不那么难,以后在分析具体的代码的时候再进行分析。

等把这些回调函数一个个的指定好了之后,我们就可以调用NdisRegisterProtocol了。此函数的作用非常重要,从效果上讲,他能够注册本驱动为NDIS协议驱动,从而可以接受NDIS管理器的管理和服务。从内部实现方面讲:此函数会在内核中创建一个非常重要的数据结构并记录下这些回调函数的地址,以后方便NDIS管理器调用。这和普通的Driver_Object理解上是相似的。
以后谈及NDIS过滤驱动的时候,你还会发现,一个驱动程序对应这3个重要的结构:普通的驱动结构,NDIS协议驱动结构,NDIS小端口驱动结构。而这些结构里都包含自己的一套回调函数,分别是:普通的分发函数,NDIS协议特征回调函数,NDIS小端口特征回调函数。而我们要做的就是好好理解透彻这些回调是如何协同工作的。一旦这些理解了,NDIS也就不难了。

下节继续 NDIS协议驱动


NDIS网络数据过滤驱动
09-15
实现了网络数据流的过滤,嗯,内部也实现了主动发送数据包的函数..... 写不下去了 本来这个项目是之前做的一个的一小模块,优化版就不发了 这是初始版.... 很适合学习用(想想之前自己查资料的时候一个例子都没有.... 唉.... 啃了好几本书啊.....
USB-RNDIS_win10 64位驱动
02-12
在Windows 10操作系统中,尤其是在64位版本下,有时内置的驱动程序可能无法正确识别或支持USB-RNDIS设备,导致设备被识别为串行端口而非网络接口。因此,"USB-RNDIS_win10 64位驱动"是专为此场景设计的驱动程序,...
NDIS开发
热门推荐
xgbing
03-15 1万+
目   录1 NDIS中间层驱动程序 21.1 NDIS中间层驱动程序(NDIS Intermediate Drivers)概述 21.2 NDIS中间层驱动程序的用途 41.3 NDIS中间层驱动程序的开发环境 42 NDIS中间层驱动程序的开发 42.1 可分页和可丢弃代码 42.2 共享资源的访问同步 52.3 中间层驱动程序的DriverEntry函数 52.3.1 注册NDI
USB共享手机网络时出现远程NDIS兼容设备驱动问题
最新发布
weixin_63064235的博客
04-11 327
第二步:删除指定注册表项:在注册表中定位到 HKEY_CLASSES_ROOT\CLSID\{3d09c1ca - 2bcc - 40b7 - b9bb - 3f3ec143a87b},右键点击该项,选择 “删除”。第三步:打开 “设备管理器”,找到有线网卡设备,右键选择 “禁用”,等待片刻后再右键选择 “启用”。通常,名称中带有 “Ethernet”(以太网)字样的设备代表有线网络适配器。第一步:打开注册表:按下键盘上的 Win + R 组合键,弹出 “运行” 窗口,输入 regedit 并回车。
NDIS协议驱动(一)
苏洛的博客
05-27 1422
NDIS 协议层驱动
NDIS开发[网络驱动开发] NDIS开发(2)
trents的专栏
07-11 2260
转自:http://wuli5164233.blog.163.com/blog/static/460195442009125682591/ NDIS开发[网络驱动开发] NDIS开发(2)   2009-02-25 18:08:25|  分类: VPN编程 |字号 订阅 接  NDIS开发[网络驱动开发] NDIS开发(1)   3.4 在微端口驱动程序上实
使用NDIS驱动监测以太网络活动
chenyujing1234的专栏
08-02 3670
转载自: http://blog.youkuaiyun.com/ddtpower/article/details/656687   本论文提供了NDIS的基本的理解,应用程序如何与驱动程序交互,发挥驱动程序最佳性能。本论文也说明了使用例子驱动(PACKET.SYS)监测以太网的应用程序。本论文不是帮助程序员开发网络驱动而是帮助他使用这样的驱动。   引言        从计算机被发明以来,对
WinPcap-NDIS-WFP-Drivers-master_NDISWFP_ndis_wfp_wfp驱动_WFPNDIS_源
10-03
NDIS提供了一种标准化的方式来实现网络驱动程序,使得网络通信更加高效和稳定。NDIS驱动分为两种类型:微型端口驱动(处理硬件交互)和筛选器驱动(提供功能扩展,如数据包捕获和过滤)。 3. **WFP**:Windows ...
NDIS协议驱动程序源代码
11-20
NDIS(Network Driver Interface Specification,网络驱动程序接口规范)是微软网络适配器驱动程序提供的一种接口标准,它位于操作系统内核层和网络适配器驱动层之间,作为一个通信桥梁,使得上层的网络协议栈(如...
NDIS协议驱动程序源代码.zip
08-07
NDIS(Network Driver Interface Specification,网络驱动程序接口规范)是微软网络适配器和网络接口卡(NICs)提供的一种编程接口。它定义了操作系统与网络驱动程序之间的交互方式,使得网络通信软件和硬件之间...
NDIS中间驱动程序的一个很好的例子
08-07
NDIS(Network Driver Interface Specification)中间驱动程序网络驱动程序模型中的一个重要组成部分,它在操作系统内核模式下运行,介于网络适配器驱动程序NDIS底层驱动)和网络协议驱动程序(如TCP/IP)之间。...
android手机虚拟网卡驱动Remote NDIS based Internet Sharing Device
02-16
android手机虚拟网卡驱动Remote NDIS based Internet Sharing Device 当想把手机通过USB连接电脑上网时,是需要驱动的
微软的一个ndis驱动程序例子
10-07
  对于在“蓝网之家”影响下蠢蠢而动搞 Windows 95 远程启动的朋友可能不少,那么大家一定对 NDIS 这几个字母不会感到陌生。其实不只是在远程启动这一层,只要是网卡的驱动盘,大家都会在里面发现有类似 NDISNDIS2、NDIS3、NDIS4一样的目录,只是大家在 Windows 9x 或 NT 中安装、设置网卡时没有注意到它罢了。但即使大搞特搞 RPL 的朋友对其大概也是只知其然而不其所以然。    NDIS 是什么?有什么作用?       NDIS 的全称是 Network Device Interface Specification,中文意思就是网络设备接口规范。    根据 OSI 七层模型,物理层定义了对网卡、线缆以及其它物理硬件设备进行配置的标准。节点间建立通信时是由物理层在传输介质上传送二进制信息实现的,因此,在发送端和接收端都还必须有一个程序来格式化这种信息流并将其传送给上一层。NDIS 的作用就是避免在访问网卡每次进行传输时都编写相应的代码。由此说来,NDIS 本质上是一种软件接口,有了 NDIS ,所有的传输就可以采用一种通用的方式来访问由不同厂商制造的网卡了,即它是用来连接协议堆栈和网卡的。   与此相关的软件还有重定向器(Redirector)和服务器(Server)。前者的目的是截获来自 OSI 会话层的网络调用,并通过将其传送到相应的协议驱动程序接口而格式化成 NDIS 能够识别和使用的命令。后者则负责接收从重向器传过来的来自于远程计算机的请求,再将这一请求传送给相应的本地文件系统驱动程序,最后再由该“服务器”将数据沿协议堆栈向下传递给客户机。    TCP协议也是通过调用 NDIS 接口服务来完成传输操作的。
NDIS 6.0 Filter Driver
10-22
NDIS 6.x LightWeight Filter , Windows Driver , Smaple , Networking , replacement of NDIS 5 Sample Intermediate Driver (Passthru driver)
简单的发包程序,可以发送TCCP,UDP,ICMP等数据包 WinSock-NDIS 网络编程
11-09
构造等都写好了,你只需使用即可 #define ICMP 0x01 #define IGMP 0x02 #define TCP 0x06 #define UDP 0x11 typedef struct lp_interface { char in_protocol; char in_destaddr[16]; UINT in_destport; }LP_INTER; //_________________________________________________________________ class CSendIpPack { public: CSendIpPack(); virtual ~CSendIpPack(); LP_INTER m_p; UINT SendIP(DWORD m_sleep,int m_speed); UINT SendIP(int m_speed); UINT SendIP(); protected: LPSTR GetLocalIpAddr(); USHORT CheckSum(USHORT *buffer, int size); ////////////////////////////////////// protected: typedef struct ip_hdr { unsigned char ip_verlen; unsigned char ip_tos; unsigned short ip_totallength; unsigned short ip_id; unsigned short ip_offset; unsigned char ip_ttl; unsigned char ip_protocol; unsigned short ip_checksum; unsigned int ip_srcaddr; unsigned int ip_destaddr; }IP_HDR; typedef struct udp_hdr { unsigned short src_portno; unsigned short dst_portno; unsigned short udp_length; unsigned short udp_checksum; }UDP_HDR; };
win10 Ndis protocol Driver
05-22
win10 Ndis protocol driver 驱动开发,自己总结的一部分。
NDIS驱动
kernweak的博客
07-05 5523
NDIS驱动分为3层 协议层驱动 绑定再所有网卡上,所以能截获接收到的包,但无法截获发送的包 中间层驱动 (P部分)绑定在了所有小端口驱动上(M部分)也被所有的协议驱动绑定,收发都能拦截。所有中间层小端口部分负责处理发送的包,协议部分负责处理接受的包 小端口驱动 网卡驱动 NDIS驱动开始 NdisMInitializeWrapper初始化NDIS句柄, NdisIMRegist...
基于远程RNDIS的Internet共享设备驱动出现感叹号(Windows 仍在设置此设备的类配置 代码 56)解决办法
Ryan爱吃糖的博客
03-06 7340
NDIS驱动(一)协议驱动
World-wang
07-25 4914
NDIS网络驱动分类 协议驱动:上层直接提供应用层socket使用的数据传输接口,下层绑定小端口驱动用于发送和接收以太网包、 小端口驱动:直接针对网卡,给协议驱动提供接收和发生数据的能力 中间层驱动:以一种特殊的方式插入到协议驱动和小端口驱动之间,作为过滤驱动的最佳选择。 协议驱动 使用wdk下的ndisport工程,不提供传输层接口,只是只有ReadFile、WriteFile
NDIS协议驱动程序设计详解
NDIS(Network Driver Interface Specification)是微软和3Com公司联合开发的一种网络驱动程序接口规范,其核心作用是为上层协议驱动程序与底层网卡驱动程序之间提供接口函数,使得协议驱动程序能够与不同的网络接口...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值