ПС контроля за сетевым трафиком ОС Windows 7, 8

@sky_diver89 · Регистрация: 04.11.2014

Студворк — интернет-сервис помощи студентам

Здравствуйте,
Получил задание курсовой работы:
ПС контроля за сетевым трафиком ОС Windows 7, 8.
Реализовать сетевой драйвер собирающий статистику по каждому сетевому соединению (протокол, количество переданных и полученных байт для каждого процесса.

Каким образом написать этот драйвер?
Я думаю, что нужно использовать фильтр NDIS Filter Drivers
Может кто-нибудь подскажет, кто писал уже что то подобное.
Спасибо.

@sky_diver89 · 02.09.2016, 15:51 **[ТС]**

Убежденный,

Сообщение от Убежденный

О каких протоколах речь?

О протоколах tcp/ip

Добавлено через 16 минут
Убежденный, наверное я выбрал не тот уровень FWPS_LAYER_STREAM_V4, т.к. здесь нету ID, а вот на уровне FWPS_LAYER_ALE_AUTH_CONNECT_V4 ID присутствует в &pInMetaValues (FWPS_METADATA_FIELD_PROCESS_ID).
Если уровень сменить буфер с данными останется такого же размера?
И еще, как входной трафик отделить от выходного?
Спасибо.

Добавлено через 12 минут
layerData - это буфер с данными?

Убежденный · 02.09.2016, 16:47

Сообщение от sky_diver89

О протоколах tcp/ip

Тогда тебе нужно несколько callout-ов (или фильтров на один и тот же callout):
по одному на TCP и UDP и еще один на какой-нибудь ICMP.

Сообщение от sky_diver89

наверное я выбрал не тот уровень FWPS_LAYER_STREAM_V4, т.к. здесь нету ID

Зато там есть FWPS_METADATA_FIELD_FLOW_HANDLE - а по этому хэндлу
можно отличать один поток данных от другого.

Сообщение от sky_diver89

Если уровень сменить буфер с данными останется такого же размера?

Нет, конечно же. Более того, на каждом уровне формат данных свой.

Сообщение от sky_diver89

И еще, как входной трафик отделить от выходного?

Ну например, см. FWPS_FIELD_STREAM_V4_DIRECTION (это для уровня stream).

Сообщение от sky_diver89

layerData - это буфер с данными?

Ответ на этот вопрос, как и на многие остальные выше, есть в MSDN:

layerData [in, out]

A pointer to a structure that describes the raw data at the layer being filtered. This parameter might be NULL, depending on the layer being filtered and the conditions under which the classifyFn0 callout function is called. For the stream layer, this parameter points to an FWPS_STREAM_CALLOUT_IO_PACKET0 structure. For all of the other layers, this parameter points to a NET_BUFFER_LIST structure if it is not NULL.

@sky_diver89 · 02.09.2016, 22:16 **[ТС]**

Убежденный, для получения ID процесса буду регистрировать еще один уровень FWPS_LAYER_ALE_AUTH_CONNECT_V4. Как правильнее зарегистрировать уровень FWPS_LAYER_ALE_AUTH_CONNECT_V4 через еще один callout или через дополнительный фильтр? В чем разница этих двух способов? Может быть в используемых ресурсах?
Спасибо.

Убежденный · 03.09.2016, 07:44

Сообщение от sky_diver89

Как правильнее зарегистрировать уровень FWPS_LAYER_ALE_AUTH_CONNECT_V4 через еще один callout или через дополнительный фильтр?

Я бы просто добавил еще один callout.
Вообще, это не тот вопрос, над которым стоит ломать голову.
Делай как удобнее, как лучше вписывается в архитектуру твоего проекта.

@sky_diver89 · 03.09.2016, 13:22 **[ТС]**

Убежденный, я добавил второй callout только уже с другим GUID, но в этом случае нужно добавить еще и второй фильтр, т.к. в поле Filter.action.calloutKey должен быть GUID of callout. Можно ли как-то сделать с одним фильтром? Тогда callouts должны иметь один и тот же GUID.
Спасибо.

Убежденный · 03.09.2016, 16:02

Сообщение от sky_diver89

но в этом случае нужно добавить еще и второй фильтр

Я не думаю, что это такая уже и большая проблема...

Можно, например, зарегистрировать несколько фильтров и направить их все на один и
тот же callout. А в ClassifyFn этого callout-а определять, от какого фильтра и на каком
уровне произошло срабатывание. Но это, как мне кажется, ненужное запутывание,
логичнее изолировать логику компонентов фильтрации друг от друга, даже если
при этом приходится писать больше кода.

@sky_diver89 · 03.09.2016, 21:38 **[ТС]**

Убежденный, в classifyFn я буду вести log, куда буду записывать протокол, количество переданных и полученных байт для каждого процесса.

Нашел такой способ записи в файл, подойдет ли он для режима ядра, или для этого режима нужно что-то специфическое?

C++
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
char* dump_filename; //Set to the file you are targeting
struct file *file;
int i;
void* data;  //Needs to be a kernel pointer, not userspace pointer
int block_count; //Set me to something
int block_size; //Set me to something
loff_t pos = 0;
mm_segment_t old_fs;
 
old_fs = get_fs();  //Save the current FS segment
set_fs(get_ds());
 
file = filp_open(dump_filename, O_WRONLY|O_CREAT, 0644);
 
if(file){
    for(i=0; i < block_count ; i++){
 
        data=<somewhere>+block_count*i //Wherever your data is
        if(data==NULL){
            continue;
        }
        vfs_write(file, data, block_size, &pos);
        pos = pos+block_size;
 
    }
    filp_close(file,NULL);
}
set_fs(old_fs); //Reset to save FS
kfree(dump_filename);

Видел еще способ с помощью функции ZwWriteFile, но думаю он не подойдет.

Убежденный · 03.09.2016, 22:25

Сообщение от sky_diver89

Нашел такой способ записи в файл, подойдет ли он для режима ядра

Нет.

Сообщение от sky_diver89

Видел еще способ с помощью функции ZwWriteFile, но думаю он не подойдет.

Ядерный API для работы с файлами: ZwCreateFile, ZwReadFile, ZwWriteFile, ZwClose и т.п.

@sky_diver89 · 04.09.2016, 21:28 **[ТС]**

Убежденный, добрый вечер,
для получения размера входного-выходного трафика, нашел вот такую структуру

C++
1
2
3
4
5
6
7
typedef struct FWPS_STREAM_CALLOUT_IO_PACKET0_ {
  FWPS_STREAM_DATA0       *streamData;
  SIZE_T                  missedBytes;
  UINT32                  countBytesRequired;
  SIZE_T                  countBytesEnforced;
  FWPS_STREAM_ACTION_TYPE streamAction;
} FWPS_STREAM_CALLOUT_IO_PACKET0;

в эту структуру входит еще одна структура FWPS_STREAM_DATA0

C++
1
2
3
4
5
6
typedef struct FWPS_STREAM_DATA0_ {
  UINT32                   flags;
  FWPS_STREAM_DATA_OFFSET0 dataOffset;
  SIZE_T                   dataLength;
  NET_BUFFER_LIST          *netBufferListChain;
} FWPS_STREAM_DATA0;

здесь, установив flags в FWPS_STREAM_FLAG_RECEIVE или в FWPS_STREAM_FLAG_SEND для входного и выходного трафика, соответственно, можно каким-то образом достать размер данных.

Также в эту структуру входит:
1) dataOffset - показывает начало потока порции данных;
2) dataLength - длина порции.

Эта информация не дает возможности вычисления трафика.
Значит нужно идти глубже: в структуру netBufferListChain.

C++
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
typedef struct _NET_BUFFER_LIST {
  NET_BUFFER_LIST_HEADER   NetBufferListHeader;
  PNET_BUFFER_LIST_CONTEXT Context;
  PNET_BUFFER_LIST         ParentNetBufferList;
  NDIS_HANDLE              NdisPoolHandle;
  PVOID                    NdisReserved[2];
  PVOID                    ProtocolReserved[4];
  PVOID                    MiniportReserved[2];
  PVOID                    Scratch;
  NDIS_HANDLE              SourceHandle;
  ULONG                    NblFlags;
  LONG                     ChildRefCount;
  ULONG                    Flags;
  NDIS_STATUS              Status;
  PVOID                    NetBufferListInfo[MaxNetBufferListInfo];
} NET_BUFFER_LIST, *PNET_BUFFER_LIST;

в итоге, залез еще глубже и, наткнулся на структуру

C++
1
2
3
4
typedef struct _NET_BUFFER_LIST_DATA {
  PNET_BUFFER_LIST Next;
  PNET_BUFFER      FirstNetBuffer;
} NET_BUFFER_LIST_DATA, *PNET_BUFFER_LIST_DATA;

Я хочу из этой структуры получить размер данных.

Вычисление размера данных:

C++
1
2
3
4
5
6
7
8
int counter = 0;
PNET_BUFFER CurrentBuffer = FirstNetBuffer;
while(CurrentBuffer != NULL)
{
  CurrentBuffer = CurrentBuffer.Next;
  counter++;
}
int SizeOfData = counter * dataLength;

Возможен ли такой путь расчета размера данных?
Если в структуре typedef struct FWPS_STREAM_DATA0_ установить флаг в FWPS_STREAM_FLAG_RECEIVE, получу ли я структуре typedef struct _NET_BUFFER_LIST_DATA только входные данные? Я думаю, что нужно как-то зарегистрировать, то что установлен флаг FWPS_STREAM_FLAG_RECEIVE.
Спасибо.

@sky_diver89 · 06.09.2016, 22:01 **[ТС]**

Убежденный, добрый вечер.
Нужно ли регистрировать факт установки флага flags для входящего - исходящего трафика? Если нужно, то как это сделать?

C++
1
2
3
4
5
6
typedef struct FWPS_STREAM_DATA0_ {
  UINT32                   flags;
  FWPS_STREAM_DATA_OFFSET0 dataOffset;
  SIZE_T                   dataLength;
  NET_BUFFER_LIST          *netBufferListChain;
} FWPS_STREAM_DATA0;

Спасибо.

Убежденный · 12.09.2016, 19:10

Сообщение от sky_diver89

Нужно ли регистрировать факт установки флага flags для входящего - исходящего трафика?

Поясни, что значит "регистрировать факт установки флага"?
Где регистрировать?

@sky_diver89 · 12.09.2016, 19:34 **[ТС]**

Убежденный, С этим вопросом я разобрался теперь есть вопрос, как связать функции user mode и kernel mode. Функцию в kernel mode, входная точка которой driverEntry, я могу скомпилировать и установить я могу без вопросов. Как мой код в user mode увидит код из kernel mode?
Сегодня преподаватель сказал мне, что использовать user mode не нужно, но я в это не верю, т.к. ответы были абстрактные.

Убежденный · 13.09.2016, 08:23

Сообщение от sky_diver89

как связать функции user mode и kernel mode.

User mode и kernel mode могут "общаться" разными способами.
Самый популярный (IMHO, он же самый верный в большинстве случаев) - ввод-вывод.

Драйвер реализует обработчики для IRP_MJ_CREATE/CLEANUP/CLOSE, а также для
IRP_MJ_DEVICE_CONTROL и/или IRP_MJ_READ/IRP_MJ_WRITE, создает устройство
(IoCreateDeviceSecure) и символьную ссылку на него (IoCreateSymbolicLink).
После этого юзермодное приложение может открывать устройство по ссылке как файл
(CreateFile) и слать туда запросы (DeviceIoControl и/или ReadFile/WriteFile).
Для DeviceIoControl доступно 3 метода передачи, каждый со своими особенностями -
Direct I/O, Bufferred I/O и Neither I/O.

Подробнее об этом здесь:

User-Mode Interactions: Guidelines for Kernel-Mode Drivers
https://drive.google.com/file/... sp=sharing

В MSDN есть целая глава, посвященная вводу-выводу:

Managing Input/Output for Drivers
https://msdn.microsoft.com/en-... s.85).aspx

В частности, вот про DeviceIoControl и обработку соответствующих IRP в драйвере:

Using I/O Control Codes
https://msdn.microsoft.com/en-... s.85).aspx

Есть вариант и чисто под минифильтры - Communication Ports.

Новые блоги и статьи Все статьи Все блоги /
Модульная разработка через nuget packages DevAlt 07.03.2026 Сложившийся в . Net-среде способ разработки чаще всего предполагает монорепозиторий в котором находятся все исходники. При создании нового решения, мы просто добавляем нужные проекты и имеем. . .	Модульный подход на примере F# DevAlt 06.03.2026 В блоге дяди Боба наткнулся на такое определение: В этой книге («Подход, основанный на вариантах использования») Ивар утверждает, что архитектура программного обеспечения — это структуры,. . .	Управление камерой с помощью скрипта OrbitControls.js на Three.js: Вращение, зум и панорамирование 8Observer8 05.03.2026 Содержание блога Финальная демка в браузере работает на Desktop и мобильных браузерах. Итоговый код: orbit-controls-threejs-js. zip. Сканируйте QR-код на мобильном. Вращайте камеру одним пальцем,. . .	SDL3 для Web (WebAssembly): Синхронизация спрайтов SDL3 и тел Box2D 8Observer8 04.03.2026 Содержание блога Финальная демка в браузере. Итоговый код: finish-sync-physics-sprites-sdl3-c. zip На первой гифке отладочные линии отключены, а на второй включены:. . .
SDL3 для Web (WebAssembly): Идентификация объектов на Box2D v3 - использование userData и событий коллизий 8Observer8 02.03.2026 Содержание блога Финальная демка в браузере. Итоговый код: finish-collision-events-sdl3-c. zip Сканируйте QR-код на мобильном и вы увидите, что появится джойстик для управления главным героем. . . .	Реалии Hrethgir 01.03.2026 Нет, я не закончил до сих пор симулятор. Эта задача сложнее. Не получилось уйти в плавсостав, но оно и к лучшему, возможно. Точнее получалось - но сварщиком в палубную команду, а это значит, в моём. . .	Ритм жизни kumehtar 27.02.2026 Иногда приходится жить в ритме, где дел становится всё больше, а вовлечения в происходящее — всё меньше. Плотный график не даёт вниманию закрепиться ни на одном событии. Утро начинается с быстрых,. . .	SDL3 для Web (WebAssembly): Сборка библиотек: SDL3, Box2D, FreeType, SDL3_ttf, SDL3_mixer и SDL3_image из исходников с помощью CMake и Emscripten 8Observer8 27.02.2026 Недавно вышла версия 3. 4. 2 библиотеки SDL3. На странице официальной релиза доступны исходники, готовые DLL (для x86, x64, arm64), а также библиотеки для разработки под Android, MinGW и Visual Studio. . . .

@sky_diver89 1 / 1 / 1 Регистрация: 04.11.2014 Сообщений: 97

	ПС контроля за сетевым трафиком ОС Windows 7, 8 08.06.2016, 17:19. Показов 4374. Ответов 32 Метки нет (Все метки) Здравствуйте, Получил задание курсовой работы: ПС контроля за сетевым трафиком ОС Windows 7, 8. Реализовать сетевой драйвер собирающий статистику по каждому сетевому соединению (протокол, количество переданных и полученных байт для каждого процесса. Каким образом написать этот драйвер? Я думаю, что нужно использовать фильтр NDIS Filter Drivers Может кто-нибудь подскажет, кто писал уже что то подобное. Спасибо. 0

@sky_diver89 1 / 1 / 1 Регистрация: 04.11.2014 Сообщений: 97
	02.09.2016, 22:16 [ТС]
	Убежденный, для получения ID процесса буду регистрировать еще один уровень FWPS_LAYER_ALE_AUTH_CONNECT_V4. Как правильнее зарегистрировать уровень FWPS_LAYER_ALE_AUTH_CONNECT_V4 через еще один callout или через дополнительный фильтр? В чем разница этих двух способов? Может быть в используемых ресурсах? Спасибо. 0

@sky_diver89 1 / 1 / 1 Регистрация: 04.11.2014 Сообщений: 97
	03.09.2016, 13:22 [ТС]
	Убежденный, я добавил второй callout только уже с другим GUID, но в этом случае нужно добавить еще и второй фильтр, т.к. в поле Filter.action.calloutKey должен быть GUID of callout. Можно ли как-то сделать с одним фильтром? Тогда callouts должны иметь один и тот же GUID. Спасибо. 0

@sky_diver89 1 / 1 / 1 Регистрация: 04.11.2014 Сообщений: 97
	12.09.2016, 19:34 [ТС]
	Убежденный, С этим вопросом я разобрался теперь есть вопрос, как связать функции user mode и kernel mode. Функцию в kernel mode, входная точка которой driverEntry, я могу скомпилировать и установить я могу без вопросов. Как мой код в user mode увидит код из kernel mode? Сегодня преподаватель сказал мне, что использовать user mode не нужно, но я в это не верю, т.к. ответы были абстрактные. 0