NDIS HOOK 防火墙实现关键技术

NDIS HOOK 防火墙实现关键技术

谈到网络安全不能不提到防火墙。目前国内防火墙多数是采用 TDI 技术, NDIS 可以算是较先进的技术了(如果您认为不是的话, 只能说明我落伍了, 呵呵) 网上缺少 NDIS 防火墙实现的技术细节说明. 经过2天的查找资料和分析已有的源代码再加上以前 NDIS 编程的基础很快对该技术有了初步的了解。

该技术细节分析只涉及到怎样 Hook 到 Ndis.sys 中导出的内核函数。至于在 Hook 函数中要进行怎样的处理就要取决于具体功能要求了. 希望下面的技术细节分析可以解决您入手难的问题.

实现思路:
(1) 类似于 User-Mode Application, 我们需要得到被挂钩函数所在文件的内存基地址。

(2) 判断该基地址开始前2个字节是否是 'MZ', 然后通过 DOS 头部结构的最后成员 e_lfanew. 进一步得到 PIMAGE_NT_HEADERS, 然后得到
函数导出目录的地址.

(3) 在 ndis.sys 的导出目录中查找要替换的目标函数 NdisRegisterProtocol, 找到目标函数后得到目标函数地址. 然后保存原先函数地址并 用我们自己的 New_NdisRegisterProtocol 替换原函数地址。

(4) 根据具体的功能需求进行不同的过滤实现.

没有什么讲解方法比展示实现代码更丰富更吸引人的, 下面就给出实现代码.

(1)
例如: 通过 depends.exe 工具查看 ndis.sys 导出的函数, 可以发现其中包括 NdisRegisterProtocol, 我们就挂钩该函数

首先需要得到 ndis.sys 的内存基地址
这里使用 Native API ZwQuerySystemInformation 来获得系统已经加载内核模块的信息。

系统模块信息结构体如下:

typedef struct _SYSTEM_MODULE_INFORMATION {
ULONG Reserved[2];
PVOID Base;
ULONG Size;
ULONG Flags;
USHORT Index;
USHORT Unknown;
USHORT LoadCount;
USHORT ModuleNameOffset;
CHAR ImageName[255];
} SYSTEM_MODULE_INFORMATION, *PSYSTEM_MODULE_INFORMATION;

查找指定模块的内存基址函数如下:

void * find_system_dll(const char *name)
{
ULONG i, n, *q;
PSYSTEM_MODULE_INFORMATION p;
void *base;

/*
* 得到系统模块信息需要的内存数量
*/
ZwQuerySystemInformation( SystemModuleInformation, &n, 0, &n);
q = (ULONG *)ExAllocatePool(PagedPool, n);
ZwQuerySystemInformation(SystemModuleInformation, q, n * sizeof (*q), 0);

/*
* ZwQuerySystemInformation 在改内存中返回模块数量和每个模块的信息.
* 模块数量是内存的前4个字节, 后面是所有模块信息的排列
*/
p = (PSYSTEM_MODULE_INFORMATION)(q + 1);

base = NULL;
for (i = 0; i < *q; i++)
{
/*
* 例如: ImageName: windows/system32/ndis.sys, 那么 ModuleNameOffset 就是 0x11
*/
if (_stricmp(p[i].ImageName + p[i].ModuleNameOffset, name) == 0)
{
/*
* 得到 ndis.sys 模块的内存基址
*/
base = p[i].Base;

KdPrint(("[ndis_hk] find_system_dll: %s; base = 0x%x; size = 0x%x/n", name, base, p[i].Size));
break;
}
}

ExFreePool(q);

return base;
}

(2) 我们已经得到了ndis.sys 模块的内存基址, 下面就根据 PE 文件格式来得到导出函数目录的虚拟地址

(3) 查找目标函数 NdisRegisterProtocol, 得到目标函数的在系统内核中的地址, 保存并替换原地址

/*
* base : ndis.sys 模块的内存基地址
*
* fn: 被 Hook 的函数名
*
* new_fn: 新的函数地址
*/

void * fix_export(char *base, const char *fn, void *new_fn)
{
PIMAGE_DOS_HEADER dos_hdr;
PIMAGE_NT_HEADERS nt_hdr;
PIMAGE_EXPORT_DIRECTORY export_dir;
ULONG *fn_name, *fn_addr, i;

/*
* 检查文件的有效性, 开始的2个字节是否是 'MZ', 按照 little-endian 顺序值是 0x5A4D.
*/
dos_hdr = (PIMAGE_DOS_HEADER)base;

if (dos_hdr->e_magic != IMAGE_DOS_SIGNATURE)
return NULL;

/*
* 通过DOS头部的最后一个成员得到 NT 头部相对于文件的偏移, 然后计算出 NT 头部的虚拟地址
*/
nt_hdr = (PIMAGE_NT_HEADERS)( base + dos_hdr->e_lfanew );

export_dir = (PIMAGE_EXPORT_DIRECTORY)( base + nt_hdr->OptionalHeader.DataDirectory [IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress );

/*
* 得到导出函数名字地址数组的地址, 数组中的每个元素是导出函数名的地址(指向导出函数名的指针)
*/
fn_name = (ULONG *)(base + export_dir->AddressOfNames);
/*
* fn_addr 数组中每个元素是导出函数地址的地址
*/
fn_addr = (ULONG *)(base + export_dir->AddressOfFunctions);

for ( i = 0; i < export_dir->NumberOfNames; i++, fn_name++, fn_addr++ )
{
if ( strcmp(fn, base + *fn_name) == 0 )
{
/*
* 取得该函数名对应的虚拟内存地址
*/
void *old_addr = base + *fn_addr;

/*
* 用我们自己新的函数地址(相对于导出模块的基地址) 来代替原函数的地址
*/
replace_value_safe(fn_addr, (char *)new_fn - base);

return old_addr;
}
}

return NULL;
}

BOOLEAN replace_value_safe( ULONG *addr, ULONG value)
{
MDL *mdl;
ULONG *virt_addr;

mdl = IoAllocateMdl(addr, sizeof(value), FALSE, FALSE, NULL);
if ( mdl == NULL )
return FALSE;

/*
* 检测指定的操作是否被支持, 锁定页面避免被换出从而造成缺页错误.
* 如果检测的操作不被支持该函数会抛出异常, 因此必须用 try/except 异常处理.
*/
__try
{
MmProbeAndLockPages( mdl, KernelMode, IoModifyAccess );

} __except(EXCEPTION_EXECUTE_HANDLER)
{
KdPrint( ("[ndis_hk] replace_value_safe: MmProbeAndLockPages!/n") );
return FALSE;
}

virt_addr = (ULONG *)MmGetSystemAddressForMdl(mdl);

/*
* 修改函数地址
*/
*(ULONG *)virt_addr = value;

MmUnlockPages(mdl);
IoFreeMdl(mdl);
return TRUE;
}

(4) 在新函数中进行过滤操作