.NET框架中的驱动程序应用技术
——用.NET和NDIS Hook Driver开发单机版网络防火墙的关键技术分析
N-Byte网络守望者是一款由我们团队开发的单机版网络安全工具,简言之,就是一个用.NET开发的个人版防火墙。在N-Byte网络守望者1.0版的开发中,我们使用了NDIS Hook Driver技术来实现网络封包过滤功能,这使我们的N-Byte网络守望者能够在网络层过滤网络封包,从而实现强大的功能。
由于我们软件的主程序是用 C# 写的, C# 中没有提供具有类似 DeviceIoControl 函数功能的驱动设备控制函数,而 NDIS Hook Driver 技术下的驱动程序是用 DDK 下的 C 语言写的,为了能够实现主程序对驱动程序的控制和相互通信,我们采用了以下设计方案:
在以上方案中,我们需要一个负责主程序与 NDIS Hook Driver 驱动程序通信与控制的模块 DriverDll.dll ,并用 C# 编写的一个封装驱动程序中封包信息的模块,可以发送这个驱动程序信息到主程序,主程序可识别并操作模块中的数据类型。
在 .NET 应用程序使用驱动程序的问题上,我们面临着两个问题:
1. 怎样实现 .NET 应用程序控制驱动程序的功能?
2. 怎样从驱动程序向 .NET 应用程序传递非托管的数据类型?
以下是我们就这些问题的详细解决方法:
** 怎样实现 ** ** .NET ** ** 应用程序控制驱动程序的功能? ** ** **
我们使用托管 C++ 编写的 DriverDll.dll 来实现对驱动程序的直接控制,而主程序通过调用其中的方法来实现对驱动程序的间接控制。比如我们在 NByte.h 文件中定义了 START_IP_HOOK 常数用来作为传给驱动程序用来开启驱动程序封包过滤功能的参数,下面我们在托管 C++ 模块中定义了 IoCtrl 托管类并定义 了下面的向缓冲区写入参数的方法:
_ // _ _ 向缓冲区写入数据。 _ _ _
_ DWORD WriteIo ( DWORD code,PVOID buffer,DWORD count) _
_ { _
_ if( hDriverHandle == NULL) _
_ return ERROR_DRIVER_HANDLE; _
_ DWORD bytesReturned ; _
_ BOOL returnCode = DeviceIoControl ( hDriverHandle , _
_ code , _
_ buffer , _
_ count , _
_ NULL, _
_ 0, _
_ & bytesReturned , _
_ NULL); _
_ _
_ if( ! returnCode ) _
_ return ERROR_IO_CTRL; _
_ return SUCCESS; _
_ } _
_ _
当然直接使用这个方法不太方便,所以定义一个公有函数,用来提供给主程序调用:
_ // _ _ 开始进行封包过滤 _ _ _
_ bool _ _ StartIpHook () _
_ { _
_ return ( WriteIo (START_IP_HOOK, NULL, 0)==SUCCESS); _
_ } _
_ _
这样,只要在主程序中声明 IoCtrl 的对象 ic ,就可以通过 ic.StartIpHook () 就可以实现对驱动程序过滤功能的开启,用同样的方法也可以实现对驱动程序进行其它操作,比如添加、修改封包过滤规则等。
** 怎样从驱动程序向 ** ** .NET ** ** 应用程序传递非托管的数据类型? ** ** **
为了能够输出安全日志,我们必须让主程序获得驱动程序中的封包信息。使用信号量机制可以很方便的实现驱动程序和非托管代码间的信息传递,那么对托管代码呢?这需要向 .NET 应用程序传递非托管的数据类型 ACCESS_INFO 。在 NByte.h 中,我们是这样定义这个 ACCESS_INFO 结构的:
_ typedef _ _ struct _ACCESS_INFO _
_ { _
_ USHORT protocol; _
_ ULONG sourceIp ; _
_ ULONG destinationIp ; _
_ USHORT sourcePort ; _
_ USHORT destinationPort ; _
_ }ACCESS _ _ _INFO; _
_ _
显然,直接传递非托管数据类型是不可以的,我们需要转换一下。首先,我们在 IoCtrl 类中定义了几个要传递的封包信息参数:
_ public _ _ __ gc class IoCtrl _
_ { _
_ public _ _ : _
_ USHORT protocol; // _ _ 网际协议类型 _ _ _
_ ULONG sourceIp ; // _ _ 源 _ _ IP _ _ 地址 _ _ _
_ ULONG destinationIp ; // _ _ 目的 _ _ IP _ _ 地址 _ _ _
_ USHORT sourcePort ; // _ _ 源端口 _ _ _
_ USHORT destinationPort ; // _ _ 目的端口 _ _ _
…… …………
_ } _
_ _
然后,在 GetAccessInfo () 函数中来给这些参数赋值:
_ void _ _ GetAccessInfo () _
_ { _
_ ACCESS_INFO ai ; _
_ bool result=( ReadIo ( GET_INFO,&ai,sizeof ( ai ))==SUCCESS); _
_ this ->protocol= ai.protocol ; _
_ this -> sourceIp = ai.sourceIp ; _
_ this -> destinationIp = ai.destinationIp ; _
_ this -> sourcePort = ai.sourcePort ; _
_ this -> destinationPort = ai.destinationPort ; _
_ } _
_ _
既然在 IoCtrl 类中获得了这些信息,但是需要把它们封装成主程序容易处理的数据类型,这样,我用 C# 实现了 InfoEvent 类用来封装这些信息:
_ // _ _ 本类封装了数据包的详细信息,可以通过事件实现对它的模块间传递。 _ _ _
_ public _ _ class InfoEvent:EventArgs _
_ { _
_ string sInfo ; // _ _ 用来存放输出信息的私有成员 _ _ _
_ public int pLength ; // CommonFunction.sPort _ _ 数组的长度 _ _ _
_ public ushort protocol; // _ _ 网络通信协议类型 _ _ _
_ public uint sourceIp ; // _ _ 数据包的源 _ _ IP _
_ public uint destinationIp ; // _ _ 数据包的目的 _ _ IP _
_ public ushort sourcePort ; // _ _ 数据包的源端口 _ _ _
_ public ushort destinationPort ; // _ _ 数据包的目的端口 _ _ _
…… …………………………
_ } _
_ _
下面在用托管 C++ 实现的 InfoProvider 驱动程序信息提供者类中把个 InfoEvent 类的对象传递给主程序,需要使用一个委托生成一个事件:
_ // _ _ 声明委托事件,用来向主程序传递数据。 _ _ _
_ __delegate void DriverInfo ( Object* sender, InfoEvent * e); _
_ // _ _ 声明响应事件函数。 _ _ _
_ __event DriverInfo * OnDriverInfo ; _
_ _
然后在 InfoProvider 驱动程序信息提供者类中定义一个方法,在主程序中以线程的方式运行这个方法,在这个方法中使用了事件函数 OnDriverInfo :
_ // _ _ 用来获得驱动程序信息的进程,在主程序中将开启该进程。 _ _ _
_ void _ _ GetInfoThreadProc () _
_ { _
_ this -> hEvent = OpenEvent ( SYNCHRONIZE,FALSE,"NBEvent "); _
_ if( ! ic -> GetDriverHandle ()) _
_ { _
_ return ; _
_ } _
_ while( true) _
_ { _
_ f( ! hEvent ) _
_ ExitThread ( 0); _
_ WaitForSingleObject ( this-> hEvent,INFINITE ); _
_ nPackets ++; _
_ ic -> GetAccessInfo (); _
_ ic -> ResetEvent (); _
_ // _ _ 定义一个主程序可以识别的对象,通过 _ _ OnDriverInfo _ _ 传给主程序。 _ _ _
_ InfoEvent * ie =new InfoEvent (ic->protocol ,ic ->sourceIp,ic->destinationIp,ic->sourcePort,ic->destinationPort); _
_ OnDriverInfo ( this,ie ); _
_ } _
_ ic -> CloseDriverHandle (); _
_ return ; _
_ } _
_ _
在主程序中,我会开启这个进程并定义了 OnDriverInfo 的处理函数 DealWithInfo :
_ pInfo _ _ = _ _ new InfoProvider (); _
_ // _ _ 开启与驱动交换信息的进程 _ _ _
_ FilterThread _ _ =new Thread( new ThreadStart ( pInfo.GetInfoThreadProc )); _
_ FilterThread.IsBackground _ _ =true; _
_ FilterThread.Start _ _ ( _ _ ); _
_ pInfo.OnDriverInfo _ _ +=new InfoProvider.DriverInfo ( DealWithInfo ); _
_ _
这样主程序就可以在 DealWithInfo 函数中加入对 InfoEvent 对象的处理了。可见,通过中间模块 IoCtrl 的转换,便实现了 .NET 主程序对驱动程序中非托管数据类型的获取和处理。