WFP开发学习笔记

WFP开发学习笔记：1.如何关联数据(路径、进程ID等)到其他层？答：使用函数FwpsFlowAssociateContext。2. FlowContext关联的数据是否可以关联到FWPS_LAYER_*任意层？答：经过实践测试，发现数据可以关联到TRANSPORT以上层，但不能关联到IPPACKET层(原因未知，微软没有给出明确说明)。3.TRANSPORT层是否包含了IP头？答：发送时MDL中部分包含IP头，部分不包含IP头(原因未知，也可能是数据从应用层往下传时，系统还未加上IP头信息)。接收时MDL中都包含有IP头。4.IPPACKET层是否包含了IP头？答：发送时OUTBOUND，MDL中全部包含了IP头，MDL的偏移量与数据长度都正确。 接收时INBOUND，MDL中全部包含了IP头，但MDL的偏移量与数据长度不匹配(原因未知)。且接收时微软默认把IP头给隐藏了(原因未知)，可以通过修改偏移量来获取有效IP头。具体变量为：NetBuffer-DataLength(真实长度)，NetBuffer-CurrentMdlOffset(真实偏移地址，如果需要获取IP头，需要前移)，Mdl-ByteCount(此数据接收时不准，需根据实际数据长度去获取数据，类似UNICODE_STRING)。5.接收时MDL中的偏移量与数据长度不匹配该如何调整，获取有效数据？答：通过函数NdisRetreatNetBufferDataStart 前移偏移地址。 通过函数NdisAdvanceNetBufferDataStart 还原便宜地址。通过函数 NdisGetDataBuffer或者自己写获取数据函数。记得需要判断偏移地址CurrentMdlOffset所在的MDL，和实际的数据长度。6. FWPM_LAYER_ALE_AUTH_CONNECT_V4与FWPM_LAYER_ALE_FLOW_ESTABLISHED_V4的区别。答：FWPM_LAYER_ALE_AUTH_CONNECT_V4 不带数据包，只是一个发起连接的动作，里面不能进行数据拦截操作。FWPM_LAYER_ALE_FLOW_ESTABLISHED_V4带有数据包，里面可以进行数据拦截操作。7.可否修改IP数据包？答：可以修改IP数据包。修改IP包信息，在IPAPCKET层。修改TCP/UDP包信息，在TRANSPORT层。修改数据包体，在ALE层即可。8.可否获取整个IP包数据？答：不能获取MAC包数据，WFP只支持获取IP头以后的数据。后面的WDK版本可能支持获取MAC包数据。9.新接触WFP该参考哪些资料？答：参考 D:WinDDK7600.16385.1srcnetworktrans 目录下的工程，或者参考看雪上面的例子，还有寒江的第15章(入门用)。10.WFP启动/结束流程图：(图1)11.FlowContext操作流程和注意事项？答：要关联Context，注册callout时必须有Deletion回调函数，否则关联会失败。1.创建Context。2.添加到Context链表。3.关联Context。4.在指定层通过参数UINT64 flowContext获取Context。5.使用Context。6.Context生命周期结束时，系统会自动调用Deletion回调函数，你需要在此从链表删除并释放内存。7.驱动卸载时，通过执行FwpsFlowRemoveContext，将没有销毁的Context销毁掉。调用FwpsFlowRemoveContext后，删除过程还会出现在Deletion回调函数中(注意)。12.个人对WFP的简单理解：注册一组回调函数，所有进出网络数据系统都会调用这组回调函数，你在里面进行逻辑判断，得出结果BLOCK/PERMIT，系统根据你提供的结果进行拦截/放行。13.WFP常用函数FwpsInjectionHandleCreateFwpsInjectionHandleDestroyFwpsQueryPacketInjectionStateFwpmEngineOpenFwpmEngineCloseFwpmTransactionBeginFwpmTransactionCommitFwpmTransactionAbortFwpsCalloutRegisterFwpmCalloutAddFwpmSubLayerAddFwpmFilterAddFwpsCallo