ПС контроля за сетевым трафиком ОС Windows 7, 8

@sky_diver89 · Регистрация: 04.11.2014

Студворк — интернет-сервис помощи студентам

Здравствуйте,
Получил задание курсовой работы:
ПС контроля за сетевым трафиком ОС Windows 7, 8.
Реализовать сетевой драйвер собирающий статистику по каждому сетевому соединению (протокол, количество переданных и полученных байт для каждого процесса.

Каким образом написать этот драйвер?
Я думаю, что нужно использовать фильтр NDIS Filter Drivers
Может кто-нибудь подскажет, кто писал уже что то подобное.
Спасибо.

@sky_diver89 · 02.09.2016, 15:51 **[ТС]**

Убежденный,

Сообщение от Убежденный

О каких протоколах речь?

О протоколах tcp/ip

Добавлено через 16 минут
Убежденный, наверное я выбрал не тот уровень FWPS_LAYER_STREAM_V4, т.к. здесь нету ID, а вот на уровне FWPS_LAYER_ALE_AUTH_CONNECT_V4 ID присутствует в &pInMetaValues (FWPS_METADATA_FIELD_PROCESS_ID).
Если уровень сменить буфер с данными останется такого же размера?
И еще, как входной трафик отделить от выходного?
Спасибо.

Добавлено через 12 минут
layerData - это буфер с данными?

Убежденный · 02.09.2016, 16:47

Сообщение от sky_diver89

О протоколах tcp/ip

Тогда тебе нужно несколько callout-ов (или фильтров на один и тот же callout):
по одному на TCP и UDP и еще один на какой-нибудь ICMP.

Сообщение от sky_diver89

наверное я выбрал не тот уровень FWPS_LAYER_STREAM_V4, т.к. здесь нету ID

Зато там есть FWPS_METADATA_FIELD_FLOW_HANDLE - а по этому хэндлу
можно отличать один поток данных от другого.

Сообщение от sky_diver89

Если уровень сменить буфер с данными останется такого же размера?

Нет, конечно же. Более того, на каждом уровне формат данных свой.

Сообщение от sky_diver89

И еще, как входной трафик отделить от выходного?

Ну например, см. FWPS_FIELD_STREAM_V4_DIRECTION (это для уровня stream).

Сообщение от sky_diver89

layerData - это буфер с данными?

Ответ на этот вопрос, как и на многие остальные выше, есть в MSDN:

layerData [in, out]

A pointer to a structure that describes the raw data at the layer being filtered. This parameter might be NULL, depending on the layer being filtered and the conditions under which the classifyFn0 callout function is called. For the stream layer, this parameter points to an FWPS_STREAM_CALLOUT_IO_PACKET0 structure. For all of the other layers, this parameter points to a NET_BUFFER_LIST structure if it is not NULL.

@sky_diver89 · 02.09.2016, 22:16 **[ТС]**

Убежденный, для получения ID процесса буду регистрировать еще один уровень FWPS_LAYER_ALE_AUTH_CONNECT_V4. Как правильнее зарегистрировать уровень FWPS_LAYER_ALE_AUTH_CONNECT_V4 через еще один callout или через дополнительный фильтр? В чем разница этих двух способов? Может быть в используемых ресурсах?
Спасибо.

Убежденный · 03.09.2016, 07:44

Сообщение от sky_diver89

Как правильнее зарегистрировать уровень FWPS_LAYER_ALE_AUTH_CONNECT_V4 через еще один callout или через дополнительный фильтр?

Я бы просто добавил еще один callout.
Вообще, это не тот вопрос, над которым стоит ломать голову.
Делай как удобнее, как лучше вписывается в архитектуру твоего проекта.

@sky_diver89 · 03.09.2016, 13:22 **[ТС]**

Убежденный, я добавил второй callout только уже с другим GUID, но в этом случае нужно добавить еще и второй фильтр, т.к. в поле Filter.action.calloutKey должен быть GUID of callout. Можно ли как-то сделать с одним фильтром? Тогда callouts должны иметь один и тот же GUID.
Спасибо.

Убежденный · 03.09.2016, 16:02

Сообщение от sky_diver89

но в этом случае нужно добавить еще и второй фильтр

Я не думаю, что это такая уже и большая проблема...

Можно, например, зарегистрировать несколько фильтров и направить их все на один и
тот же callout. А в ClassifyFn этого callout-а определять, от какого фильтра и на каком
уровне произошло срабатывание. Но это, как мне кажется, ненужное запутывание,
логичнее изолировать логику компонентов фильтрации друг от друга, даже если
при этом приходится писать больше кода.

@sky_diver89 · 03.09.2016, 21:38 **[ТС]**

Убежденный, в classifyFn я буду вести log, куда буду записывать протокол, количество переданных и полученных байт для каждого процесса.

Нашел такой способ записи в файл, подойдет ли он для режима ядра, или для этого режима нужно что-то специфическое?

C++
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
char* dump_filename; //Set to the file you are targeting
struct file *file;
int i;
void* data;  //Needs to be a kernel pointer, not userspace pointer
int block_count; //Set me to something
int block_size; //Set me to something
loff_t pos = 0;
mm_segment_t old_fs;
 
old_fs = get_fs();  //Save the current FS segment
set_fs(get_ds());
 
file = filp_open(dump_filename, O_WRONLY|O_CREAT, 0644);
 
if(file){
    for(i=0; i < block_count ; i++){
 
        data=<somewhere>+block_count*i //Wherever your data is
        if(data==NULL){
            continue;
        }
        vfs_write(file, data, block_size, &pos);
        pos = pos+block_size;
 
    }
    filp_close(file,NULL);
}
set_fs(old_fs); //Reset to save FS
kfree(dump_filename);

Видел еще способ с помощью функции ZwWriteFile, но думаю он не подойдет.

Убежденный · 03.09.2016, 22:25

Сообщение от sky_diver89

Нашел такой способ записи в файл, подойдет ли он для режима ядра

Нет.

Сообщение от sky_diver89

Видел еще способ с помощью функции ZwWriteFile, но думаю он не подойдет.

Ядерный API для работы с файлами: ZwCreateFile, ZwReadFile, ZwWriteFile, ZwClose и т.п.

@sky_diver89 · 04.09.2016, 21:28 **[ТС]**

Убежденный, добрый вечер,
для получения размера входного-выходного трафика, нашел вот такую структуру

C++
1
2
3
4
5
6
7
typedef struct FWPS_STREAM_CALLOUT_IO_PACKET0_ {
  FWPS_STREAM_DATA0       *streamData;
  SIZE_T                  missedBytes;
  UINT32                  countBytesRequired;
  SIZE_T                  countBytesEnforced;
  FWPS_STREAM_ACTION_TYPE streamAction;
} FWPS_STREAM_CALLOUT_IO_PACKET0;

в эту структуру входит еще одна структура FWPS_STREAM_DATA0

C++
1
2
3
4
5
6
typedef struct FWPS_STREAM_DATA0_ {
  UINT32                   flags;
  FWPS_STREAM_DATA_OFFSET0 dataOffset;
  SIZE_T                   dataLength;
  NET_BUFFER_LIST          *netBufferListChain;
} FWPS_STREAM_DATA0;

здесь, установив flags в FWPS_STREAM_FLAG_RECEIVE или в FWPS_STREAM_FLAG_SEND для входного и выходного трафика, соответственно, можно каким-то образом достать размер данных.

Также в эту структуру входит:
1) dataOffset - показывает начало потока порции данных;
2) dataLength - длина порции.

Эта информация не дает возможности вычисления трафика.
Значит нужно идти глубже: в структуру netBufferListChain.

C++
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
typedef struct _NET_BUFFER_LIST {
  NET_BUFFER_LIST_HEADER   NetBufferListHeader;
  PNET_BUFFER_LIST_CONTEXT Context;
  PNET_BUFFER_LIST         ParentNetBufferList;
  NDIS_HANDLE              NdisPoolHandle;
  PVOID                    NdisReserved[2];
  PVOID                    ProtocolReserved[4];
  PVOID                    MiniportReserved[2];
  PVOID                    Scratch;
  NDIS_HANDLE              SourceHandle;
  ULONG                    NblFlags;
  LONG                     ChildRefCount;
  ULONG                    Flags;
  NDIS_STATUS              Status;
  PVOID                    NetBufferListInfo[MaxNetBufferListInfo];
} NET_BUFFER_LIST, *PNET_BUFFER_LIST;

в итоге, залез еще глубже и, наткнулся на структуру

C++
1
2
3
4
typedef struct _NET_BUFFER_LIST_DATA {
  PNET_BUFFER_LIST Next;
  PNET_BUFFER      FirstNetBuffer;
} NET_BUFFER_LIST_DATA, *PNET_BUFFER_LIST_DATA;

Я хочу из этой структуры получить размер данных.

Вычисление размера данных:

C++
1
2
3
4
5
6
7
8
int counter = 0;
PNET_BUFFER CurrentBuffer = FirstNetBuffer;
while(CurrentBuffer != NULL)
{
  CurrentBuffer = CurrentBuffer.Next;
  counter++;
}
int SizeOfData = counter * dataLength;

Возможен ли такой путь расчета размера данных?
Если в структуре typedef struct FWPS_STREAM_DATA0_ установить флаг в FWPS_STREAM_FLAG_RECEIVE, получу ли я структуре typedef struct _NET_BUFFER_LIST_DATA только входные данные? Я думаю, что нужно как-то зарегистрировать, то что установлен флаг FWPS_STREAM_FLAG_RECEIVE.
Спасибо.

@sky_diver89 · 06.09.2016, 22:01 **[ТС]**

Убежденный, добрый вечер.
Нужно ли регистрировать факт установки флага flags для входящего - исходящего трафика? Если нужно, то как это сделать?

C++
1
2
3
4
5
6
typedef struct FWPS_STREAM_DATA0_ {
  UINT32                   flags;
  FWPS_STREAM_DATA_OFFSET0 dataOffset;
  SIZE_T                   dataLength;
  NET_BUFFER_LIST          *netBufferListChain;
} FWPS_STREAM_DATA0;

Спасибо.

Убежденный · 12.09.2016, 19:10

Сообщение от sky_diver89

Нужно ли регистрировать факт установки флага flags для входящего - исходящего трафика?

Поясни, что значит "регистрировать факт установки флага"?
Где регистрировать?

@sky_diver89 · 12.09.2016, 19:34 **[ТС]**

Убежденный, С этим вопросом я разобрался теперь есть вопрос, как связать функции user mode и kernel mode. Функцию в kernel mode, входная точка которой driverEntry, я могу скомпилировать и установить я могу без вопросов. Как мой код в user mode увидит код из kernel mode?
Сегодня преподаватель сказал мне, что использовать user mode не нужно, но я в это не верю, т.к. ответы были абстрактные.

Убежденный · 13.09.2016, 08:23

Сообщение от sky_diver89

как связать функции user mode и kernel mode.

User mode и kernel mode могут "общаться" разными способами.
Самый популярный (IMHO, он же самый верный в большинстве случаев) - ввод-вывод.

Драйвер реализует обработчики для IRP_MJ_CREATE/CLEANUP/CLOSE, а также для
IRP_MJ_DEVICE_CONTROL и/или IRP_MJ_READ/IRP_MJ_WRITE, создает устройство
(IoCreateDeviceSecure) и символьную ссылку на него (IoCreateSymbolicLink).
После этого юзермодное приложение может открывать устройство по ссылке как файл
(CreateFile) и слать туда запросы (DeviceIoControl и/или ReadFile/WriteFile).
Для DeviceIoControl доступно 3 метода передачи, каждый со своими особенностями -
Direct I/O, Bufferred I/O и Neither I/O.

Подробнее об этом здесь:

User-Mode Interactions: Guidelines for Kernel-Mode Drivers
https://drive.google.com/file/... sp=sharing

В MSDN есть целая глава, посвященная вводу-выводу:

Managing Input/Output for Drivers
https://msdn.microsoft.com/en-... s.85).aspx

В частности, вот про DeviceIoControl и обработку соответствующих IRP в драйвере:

Using I/O Control Codes
https://msdn.microsoft.com/en-... s.85).aspx

Есть вариант и чисто под минифильтры - Communication Ports.

Новые блоги и статьи Все статьи Все блоги /
сукцессия 12. краткий список проверок модели перед запуском. anaschu 27.06.2026 Скрытые отказы в моделях систем динамики (SD-models) экологических систем: два случая из практики Контекст Разбирался прототип модели систем динамики (SD-модели) микоризной сукцессии: пять. . .	Сукцессия 11. Проверка орудий перед войной: разработка через тестирование anaschu 27.06.2026 Как не дать модели соврать самой себе: проверки для симуляции микоризной сукцессии Введение Когда вы строите математическую модель живой системы — грибов, растений, почвы — главная опасность. . .	10 сукцессия. Питон код войны грибов и растений anaschu 27.06.2026 import numpy as np class PlantAgent: def __init__(self, name, strategy, initial_biomass): self. name = name self. strategy = strategy # "greedy" (широколиственные) или. . .	сукцессия 9. Математика подлости: как растения предали грибных друзей anaschu 27.06.2026 Статья 2. Глобальная фосфорная война: эволюционно-экономические механизмы распределения биомов Земли Введение: Экологический рынок как игра с нулевой суммой Традиционная экология долгое время. . .
сукцессия 8. Как я спорил с ИИ, которые - агенты растений и ненавистники грибов! anaschu 27.06.2026 Статья 1. Хроники грибного восстания: как Сократов диалог разрушил академические догмы ИИ Введение: Синдром «цифрового учебника» Современные большие языковые модели (LLM) обладают колоссальным. . .	Главный вопрос моделирования сукцессии anaschu 27.06.2026 главный вопрос. Если эктомикориза лучше добывает недоступный фосфор. И ее масса максимальна из всех. А широколиственный лес тоже имеет самую крутую биомассу. То почему не возникло их симбиоза? Это. . .	сукцессия 6. Питон реализация энилоджиковской модели, картинка про Центральную часть будущей модели anaschu 26.06.2026 Етить. ИИ мне на основе моего старого файла R создал вот эту вот хмерь на пайтоне. Это уже новая модель, модель сукцессии грибной. потоки фосфора, азота. Углерода. 5 видов организмов. Я даже. . .	Как замкнутый ядерный цикл решит проблему недостатки фосфора? Био миграция фосфора со дна океана anaschu 26.06.2026 Биологический лифт: Концепция подъема фосфора со дна океана с помощью ЗЯТЦ Предлагаю на обсуждение альтернативу тяжелому промышленному бурению океанического дна. Вместо сложной инженерии мы можем. . .

@sky_diver89 1 / 1 / 1 Регистрация: 04.11.2014 Сообщений: 97

	ПС контроля за сетевым трафиком ОС Windows 7, 8 08.06.2016, 17:19. Показов 4446. Ответов 32 Метки нет (Все метки) Здравствуйте, Получил задание курсовой работы: ПС контроля за сетевым трафиком ОС Windows 7, 8. Реализовать сетевой драйвер собирающий статистику по каждому сетевому соединению (протокол, количество переданных и полученных байт для каждого процесса. Каким образом написать этот драйвер? Я думаю, что нужно использовать фильтр NDIS Filter Drivers Может кто-нибудь подскажет, кто писал уже что то подобное. Спасибо. 0

@sky_diver89 1 / 1 / 1 Регистрация: 04.11.2014 Сообщений: 97
	02.09.2016, 22:16 [ТС]
	Убежденный, для получения ID процесса буду регистрировать еще один уровень FWPS_LAYER_ALE_AUTH_CONNECT_V4. Как правильнее зарегистрировать уровень FWPS_LAYER_ALE_AUTH_CONNECT_V4 через еще один callout или через дополнительный фильтр? В чем разница этих двух способов? Может быть в используемых ресурсах? Спасибо. 0

@sky_diver89 1 / 1 / 1 Регистрация: 04.11.2014 Сообщений: 97
	03.09.2016, 13:22 [ТС]
	Убежденный, я добавил второй callout только уже с другим GUID, но в этом случае нужно добавить еще и второй фильтр, т.к. в поле Filter.action.calloutKey должен быть GUID of callout. Можно ли как-то сделать с одним фильтром? Тогда callouts должны иметь один и тот же GUID. Спасибо. 0

@sky_diver89 1 / 1 / 1 Регистрация: 04.11.2014 Сообщений: 97
	12.09.2016, 19:34 [ТС]
	Убежденный, С этим вопросом я разобрался теперь есть вопрос, как связать функции user mode и kernel mode. Функцию в kernel mode, входная точка которой driverEntry, я могу скомпилировать и установить я могу без вопросов. Как мой код в user mode увидит код из kernel mode? Сегодня преподаватель сказал мне, что использовать user mode не нужно, но я в это не верю, т.к. ответы были абстрактные. 0