Firewall-hook driver是怎么工作的啊

请各位高手帮忙告诉我一下firewall-hook driver是怎么工作的，多谢

第一次得到了10个专家分值，真爽！也不知是哪位老兄赠的，先谢谢了，以后会多来这里转转，希望各位多多交流！
希望下面对你有用！
在Windows9x下，驱动程序（VxD）通过使用Hook_Device_Service可以挂接NDIS所提供的所有服务。在Windows NT/2000下面如何实现Hook呢？有两种不同的思路：
1) 通过修改NDIS.SYS的Export Table。在Windows NT/2000下，可执行文件（包括DLL以及SYS）都是遵从PE（Portable Executable）格式的。所有向其他操作系统组件提供接口的驱动程序都有Export Table，因此只要修改NDIS.SYS的Export Table就可以实现对关键NDIS API的挂接。由于协议驱动程序在系统启动的时候会调用NdisRegisterProtocol来向系统进行协议注册，因此这种方法关键在于修改NDIS.SYS所提供的NdisRegisterProtocol/NdisDeRegisterProtocol/NdisOpenAdapter/NdisCloseAdapter/NdisSend函数的起始地址。我们知道，在用户态模式要修改PE文件格式可以用一些API来实现，而NDIS.SYS位于系统的核心内存区，因此要修改NDIS.SYS就不得不通过写驱动程序来实现，也就要求我们对PE文件格式有比较深入的了解。使用这种方法还要注意驱动程序的加载次序，显然Hook Driver必须在NDIS.SYS被加载之后，而在协议驱动程序如tcpip.sys被加载之前。另外，Windows2000还提供了系统文件保护机制，因此在修改ndis.sys还需要通过修改注册表屏蔽系统文件保护机制。
2) 向系统注册假协议（fake protocol）。在Windows内核中，所有已注册的协议是通过一个单向的协议链表来维护的。这个单向链表保存了所有已注册协议的NDIS_PROTOCOL_BLOCK结构的地址，在这个结构中保存了协议驱动所指定的相应的派发函数的地址如RECEIVE_HANDLER等。并且，每个协议驱动还对应一个NDIS_OPEN_BLOCK的单向链表来维护其所绑定的网卡信息。当协议驱动调用NdisRegisterProtocol之后，NDIS总是会把新注册的协议放在协议链表的表头并返回这张表，所以只要我们注册一个新的协议通过新协议注册返回的链表头就可以轻而易举的遍历系统中所有协议表。但是，如果要成功地挂接派发函数，还需要对协议所对应的NDIS_OPEN_BLOCK结构里的派发函数进行挂接，因为NDIS并不是直接调用协议驱动在NDIS_PROTOCOL_CHARACTERISTICS所注册的派发函数地址，而是调用NDIS_OPEN_BLOCK里的派发函数。值得注意的是，在Windows9x/Me/NT的DDK中，NDIS_PROTOCOL_BLOCK的定义是很明确的，而在Windows 2000/xp的DDK中，并没有该结构的详细定义，也就是说该结构在Windows2000/xp下是非公开的，因此开发人员需要利用各种调试工具来发掘该结构的详细定义。也正是因为如此，这种方法对平台的依赖性比较大，需要在程序中判断不同的操作系统版本而使用不同的结构定义。

兄弟你给NDIS的资料给他看做什么呀，我估计他TDI都不知道。他做个SPI都难哟~~

兄弟你给NDIS的资料给他看做什么呀，我估计他TDI都不知道。他做个SPI都难哟~~

自以为了不起的人！

收藏