龙马谷

 找回密码
 立即注册

QQ登录

只需一步,快速开始

龙马谷VIP会员办理客服QQ:82926983(如果临时会话没有收到回复,请先加QQ好友再发。)
1 [已完结] GG修改器新手入门与实战教程 31课 2 [已完结] GG修改器美化修改教程 6课 3 [已完结] GG修改器Lua脚本新手入门教程 12课
4 [已完结] 触动精灵脚本新手入门必学教程 22课 5 [已完结] 手游自动化脚本入门实战教程 9课 6 [已完结] C++射击游戏方框骨骼透视与自瞄教程 27课
7 [已完结] C++零基础UE4逆向开发FPS透视自瞄教程 29课 8 [已完结] C++零基础大漠模拟器手游自动化辅助教程 22课 9 [已完结] C++零基础开发DXF内存脚本辅助教程 32课
以下是天马阁VIP教程,本站与天马阁合作,赞助VIP可以获得天马阁对应VIP会员,名额有限! 点击进入天马阁论坛
1 [已完结] x64CE与x64dbg入门基础教程 7课 2 [已完结] x64汇编语言基础教程 16课 3 [已完结] x64辅助入门基础教程 9课
4 [已完结] C++x64内存辅助实战技术教程 149课 5 [已完结] C++x64内存检测与过检测技术教程 10课 6 [已完结] C+x64二叉树分析遍历与LUA自动登陆教程 19课
7 [已完结] C++BT功能原理与x64实战教程 29课 8 [已完结] C+FPS框透视与自瞄x64实现原理及防护思路
查看: 5428|回复: 0

WSK驱动-内核模式下的网络编程接口

[复制链接]

19

主题

6

回帖

32

积分

编程入门

Rank: 1

龙马币
70

WSK 是一个内核模式下的网络编程接口(NPI).通过WSK,内核模式的软件模块可以使用同用户模式的Winsock2一样的网络操作。WSK NPI支持socket的创建,绑定,建立连接,数据的发送和接收等操作。虽然大多数操作是跟用户模式的socket一样,但是它也有一些特殊的特性,比如基于IRP的异步IO,事件回调来增强系统的表现。

WSK只对于Windows Vista及其以后的操作系统,我们应该使用WSK替代TDI,因为其增强了系统的表现和更容易的编程。

Winsock Kernel Overview
Winsock Kernel Architecture


这个体系的核心是WSK子系统。WSK子系统是一个网络模块提供WSK的NPI。WSK子系统接口和传输层提供层,在传输层的下边缘,提供对不同传输协议的支持。

WSK的应用就附加在WSD子系统的上面。WSK应用是一些内核模式下的软件模块,为了执行网络IO操作,执行一些WSK NPI客户方面的操作。WSK可以调用WSK客户NPI,
通知WSK应用,关于一些异步事件的发生。

WSK应用通过使用WSK注册的函数来发现并附加到WSK子系统上。应用可以使用这些函数动态的探测WSK子系统什么时候可以使用,以及动态修改为客户提供的WSK NPI
的配发函数表。

WSK应用可以通过使用网络模块注册(NMR)附加在WSK子系统上。

Winsock Kernel Objects

Client Object
客户对象代表在WSK应用和WSK子系统间的一个附件,或绑定。客户对象通过WSK_CLIENT结构表示。当WSK应用附加在WSK子系统后,会返回一个指向
其结构体的指针。WSK应用对所有涉及到客户对象层次上的函数都会传递这个指针。


Socket Object
套接字对象代表可被用于网络IO操作的网络套接字。套接字对象通过WSK_SOCKET结构表示。当应用创建了一个新的套接字或接收到一个来自连接的套接字的时候,
WSK应用返回一个指向该结构体的指针。WSK应用在使用指定套接字的函数时,传递指针给这些WSK函数。


Winsock Kernel Socket Categories
WSK定义了四种不同类型的套接字,基本套接字,监听套接字,数据报套接字,和面向连接的套接字。每一种类型的套接字都有唯一的功能和一组支持的函数。WSK应用在创建新的套接字的时候必须指定WSK套接字的类型。


Basic Sockets:
基本套接字仅仅只被用于获得并设置传输堆栈中的套接字的选项或执行套接字IO控制操作。基本套接字不能被绑定到本地传输地址上,也不能支持发送或接收网络数据。


Listening Sockets:
监听套接字被用来对远程传输地址的接收连接进行监听。监听套接字的功能包含所有的基本套接字的功能。


Datagram Sockets:
数据报套接字被用来发送和接收数据报。数据报套接字包含基本套接字的所有功能。


Connection-Oriented Sockets:
面向连接的套接字被用来在建立的连接上发送和接收网络数据。面向连接的套接字包含所有基本套接字的功能。


Winsock Kernel Events
当有一些指定套接字的事件发生的时候,比如新的数据已经被套接字接收,或套接字被断开连接,WSK子系统可以异步通知WSK应用。为了WSK可以在套接字事件发生被异步通知到,WSK必须执行一些相应的事件回调函数,并在套接字上使能这些回调函数。

注意:WSK应用不需要执行或使用事件回调函数。WSK应用可以通过调用相应的WSK套接字函数来实现大多数的WSK套接字操作。WSK应用唯一需要事件回调函数,是在监听套接字的有条件接收模式上的回调函数上。

不同的WSK套接字类型支持不同的套接字事件。


Basic sockets:
基本套接字不支持任何套接字事件。

Listening sockets:
Event                                                                     Event callback function
An incoming connection has been accepted.                  WskAcceptEvent
An incoming connection request has arrived.*                WskInspectEvent
An incoming connection request has been dropped.*      WskAbortEvent

* Applies only to listening sockets that have conditional-accept mode enabled

Datagram sockets
Event                                                                       Event callback function
One or more new datagrams have been received.           WskReceiveFromEvent

Connection-oriented sockets

Event                                                          Event callback function
New data has been received.                             WskReceiveEvent
The socket has been disconnected.                     WskDisconnectEvent
The ideal send backlog size has changed.            WskSendBacklogEvent

当WSK应用创建一个套接字,套接字的事件回调函数默认是关闭的。当套接字事件发生的时候,为了WSK子系统去调用套接字的事件回调函数,WSK应该去使能套接字回调函数。

如果WSK应用为套接字注册了额外的扩展接口,扩展接口可能支持额外的事件。

WSK子系统也会通知WSK应用一些套接字没有指定的事件。为了WSK应用在这些事件上得到通知,WSK应用必须实现WskClientEvent回调函数。没有对特殊的套接字指定事件。WSK应用的WskClientEvent事件回调函数一直是使能的,不能被关闭。

WSK应用的事件回调函数中禁止等待WSK完成上下文中的其他WSK请求完成,或其他的事件回调函数的完成。回调函数可以初始化其他的WSK请求(假设在DISPATCH_LEVEL上不会消耗太多时间),但是不能等待他们完成当回调函数在IRQL=PASSIVE_LEVEL上被调用的时候。


Using Winsock Kernel Functions vs. Event Callback Functions
对于一些套接字的操作,WSK应用可调用套接字的WSK函数去执行潮州,或者去使能套接字上面的事件回调函数,在套接字相关事件发生时,WSK子系统调用事件回调函数去完成操作。举例来说,当在一个面向连接的套接字上接收数据,WSK应用可以调用WskReceive函数,或者去使能套接字上的WskReceiveEvent事件回调函数。

如下说明了关于每种方法的关键点。

Using Winsock Kernel Functions
WSK应用控制套接字的操作,意味着WSK应用控制套接字的操作什么时候发生。这个可以通过WSK应用进行简单的同步。
WSK应用提供IRP给套接字函数。WSK子系统对这些IRP进行排队知道套接字的操作完成。
WSK应用通过等待每个操作的IRP被WSK子系统完成执行一些阻塞套接字操作。

为了避免接收的数据报来自一个正在数据报套接字上被丢弃,或避免接收的连接正在监听套接字上正在被丢弃,WSK应用为了确保在面向连接的套接字上保持高的数据传输效率,在一定的条件下,必须保持在队列中对多个套接字操作。

WSK应用为数据传输操作提供了数据空间。这个可以降低数据被拷贝的次数。
如果,WSK需要在一个队列中保持多个数据传输操作,应用必须为每一个数据传输操作提供一个数据空间,这样,WSK应用需要额外的内存资源。

Using Event Callback Functions
WSK子系统控制套接字操作,意味着WSK子系统通过调用套接字事件的回调函数通知WSK应用的套接字事件。WSK应用可能需要更复杂的同步机制去处理事件回调函数的异步操作。

WSK应用对套接字操作没有使用IRP.

WSK应用不需要排队套接字操作,WSK子系统在套接字事件发生时很快调用WSK应用事件回调函数。如果WSK应用可以在其套接字的回调函数被调用时,保持很高速率,使用事件回调函数可以提供最高的表现,和最少的丢掉数据报或接收连接的机会。

WSK子系统为数据传输操作提供数据空间,WSK应用必须立刻,或有原因的有限时间内,释放这些数据空间给WSK子系统,以至于,WSK子项题哦那个不会运行时没有内存资源。那样的话,WSK应用可能需要拷贝数据从WSK子系统提供的空间到自己的数据空间中。

Winsock Kernel Dispatch Tables

WSK的套接字对象包含一个指向其函数派遣函数列表的指针。WSK应用调用派遣函数列表中的函数去执行套接字上的网络IO操作。因为,每一种WSK套接字的分类的不同,其派遣函数列表也不同。WSK NPI对于每一类套接字定义了不同的派遣函数列表:

Socket category                         Dispatch table structure
Basic socket                              WSK_PROVIDER_BASIC_DISPATCH
Listening socket                         WSK_PROVIDER_LISTEN_DISPATCH
Datagram socket                       WSK_PROVIDER_DATAGRAM_DISPATCH
Connection-oriented socket         WSK_PROVIDER_CONNECTION_DISPATCH

如果WSK应用对于套接字使用的事件回调函数是其自己创建的,它就比西在创建一个新的套接字的时候,提供一个好套接事件回调函数指针的客户派遣函数列表结构。因为,每一类套接字支持不同的事件回调函数,WSK NPI为每一类的套接字定义不同的客户派遣函数列表。

Socket category                         Dispatch table structure
Listening socket                         WSK_CLIENT_LISTEN_DISPATCH
Datagram socket                        WSK_CLIENT_DATAGRAM_DISPATCH
Connection-oriented socket         WSK_CLIENT_CONNECTION_DISPATCH

Winsock Kernel Extension Interfaces
WSK NPI包含一些扩展接口的支持。WSK子系统可以在WSK套接字一组套接字函数和事件回调函数的基础上使用扩展接口扩展其功能。每一个NPI定义的扩展接口都是和WSK NPI定义的。当前没有扩展被定义。

WSK应用可以通过使用SIO_WSK_REGISTER_EXTENSION套接字IOCTL操作注册WSK子系统提供的扩展接口。WSK应用可以注册对于套接字对套接字的基础的扩展接口。


Using IRPs with Winsock Kernel Functions
WSK NPI使用IRP进行网络IO操作的异步完成操作。每一个WSK函数带一个指向IRP的指针作为参数。WSK子系统在WSK函数的操作完成以后结束IRP.
WSK应用使用的传给WSK函数的IRP,可以起源于如下的方式:
WSK应用通过调用IoAllocateIrp函数分配IRP.这种情况下,WSK应用必须分配IRP,至少有一个IO堆栈。
WSK重用预前分配的已经完成的IRP.在这种情况下,WSK必须调用IoReuseIrp函数去重新初始化IRP.
WSK应用使用的从更高层驱动或IO管理器传递过来的IRP.在这种情况下,IRP必须至少有一个保留的IO堆栈给WSK子系统使用。

当WSK应用拥有一个IRP来调用WSK函数以后,它可以为IRP设置一个IoCompletion完成例程,当IRP被WSK子系统完成的时候,完成例程被调用。这个可以通过IoSetCompletionRountine函数来实现。取决于IRP怎样初始化,IoCompletion例程可以必须的或可选的。

如果WSK应用分配一个IRP,或重用一个预前分配的IRP,它可以在调用WSK函数前,为IRP设置一个完成例程。在这种情况下,WSP应用必须指定IoSetCompletionRoutine函数的参数InvokeOnSuccess,InvokeOnError InvokeOnCancel都设置为TRUE,确保完成例程总是被调用。而且,对于被设置了完成例程的IRP必须总是返回STATUS_MORE_PROCESSING_REQUIRED去临时结束IRP的处理。如果WSK应用操作已经结束,IRP的完成例程被调用,在完成例程返回前必须调用IoFreeIrp去释放IRP。如果WSK应用没有释放IRP,它就可以重用它去调用另外的WSK函数。

如果WSK应用使用的IRP是从上层驱动传递过来的或IO管理器传递过来的,仅仅是在WSK函数被完成的时候它必须被通知的情况下,才在调用WSK函数前,为IRP设置IoCompletion完成例程。如果WSK应用没有为IRP设置完成例程,当IRP被完成的时候,IRP将被传递到更高层驱动或IO管理器进行一般IRP完成处理。如果,WSK应用为IRP设置了IoCompletion例程,IoCompletion例程可以返回STAUTS_SUCCESS或STATUS_MORE_PROCESSING_REQUIRED.如果返回STATUS_SUCCESS,IRP完成处理安装普通的方式处理,如果返STATUS_MORE_PROCESSING_REQUIRED,WSK应用在其WSK函数已经完成处理并返回结果后,调用IoCompleteRequest结束IRP.WSK应用不
应该释放从更高层驱动或IO管理器传递过来的IRP.

如果WSK应用为从更高层驱动或IO管理器传递过来的IRP设置IoCompletion例程的时候,IoCompletion例程必须检查IRP的成员PendingReturned,在其为TRUE的时候,调用IoMarkIrpPending函数。

WSK应用,除了为IRP设置完成例程IoCompletion外,不应该为传递给WSK函数的IRP做其他的初始化动作。当WSK应用传递IRP到一个WSK函数,WSK根据应用的行为为其安装一个下层IO堆栈。

如下的代码演示了在套接字上执行接收操作的时候WSK应用怎样分配和使用IRP.

  1. // Prototype for the receive IoCompletion routine
  2. NTSTATUS
  3. ReceiveComplete(
  4. PDEVICE_OBJECT DeviceObject,
  5. PIRP Irp,
  6. PVOID Context
  7. );


  8. // Function to receive data
  9. NTSTATUS
  10. ReceiveData(
  11. PWSK_SOCKET Socket,
  12. PWSK_BUF DataBuffer
  13. )
  14. {
  15. PWSK_PROVIDER_CONNECTION_DISPATCH Dispatch;
  16. PIRP Irp;
  17. NTSTATUS Status;


  18. // Get pointer to the provider dispatch structure
  19. Dispatch =
  20. (PWSK_PROVIDER_CONNECTION_DISPATCH)(Socket->Dispatch);


  21. // Allocate an IRP
  22. Irp =
  23. IoAllocateIrp(
  24. 1,
  25. FALSE
  26. );


  27. // Check result
  28. if (!Irp)
  29. {
  30. // Return error
  31. return STATUS_INSUFFICIENT_RESOURCES;
  32. }


  33. // Set the completion routine for the IRP
  34. IoSetCompletionRoutine(
  35. Irp,
  36. ReceiveComplete,
  37. DataBuffer,  // Use the data buffer for the context
  38. TRUE,
  39. TRUE,
  40. TRUE
  41. );


  42. // Initiate the receive operation on the socket
  43. Status =
  44. Dispatch->WskReceive(
  45. Socket,
  46. DataBuffer,
  47. 0,  // No flags are specified
  48. Irp
  49. );


  50. // Return the status of the call to WskReceive()
  51. return Status;
  52. }


  53. // Receive IoCompletion routine
  54. NTSTATUS
  55. ReceiveComplete(
  56. PDEVICE_OBJECT DeviceObject,
  57. PIRP Irp,
  58. PVOID Context
  59. )
  60. {
  61. UNREFERENCED_PARAMETER(DeviceObject);


  62. PWSK_BUF DataBuffer;
  63. ULONG ByteCount;


  64. // Check the result of the receive operation
  65. if (Irp->IoStatus.Status == STATUS_SUCCESS)
  66. {
  67. // Get the pointer to the data buffer
  68. DataBuffer = (PWSK_BUF)Context;

  69. // Get the number of bytes received
  70. ByteCount = (ULONG)(Irp->IoStatus.Information);


  71. // Process the received data
  72. ...
  73. }


  74. // Error status
  75. else
  76. {
  77. // Handle error
  78. ...
  79. }


  80. // Free the IRP
  81. IoFreeIrp(Irp);


  82. // Always return STATUS_MORE_PROCESSING_REQUIRED to
  83. // terminate the completion processing of the IRP.
  84. return STATUS_MORE_PROCESSING_REQUIRED;
  85. }

  86. 如下的代码演示了WSK应用在套接字上执行接收操作时如何使用从更高层驱动传递过来的或IO管理器传递过来的IRP。


  87. // Prototype for the receive IoCompletion routine
  88. NTSTATUS
  89. ReceiveComplete(
  90. PDEVICE_OBJECT DeviceObject,
  91. PIRP Irp,
  92. PVOID Context
  93. );


  94. // Function to receive data
  95. NTSTATUS
  96. ReceiveData(
  97. PWSK_SOCKET Socket,
  98. PWSK_BUF DataBuffer,
  99. PIRP Irp;  // IRP from a higher level driver or the I/O manager
  100. )
  101. {
  102. PWSK_PROVIDER_CONNECTION_DISPATCH Dispatch;
  103. NTSTATUS Status;


  104. // Get pointer to the provider dispatch structure
  105. Dispatch =
  106. (PWSK_PROVIDER_CONNECTION_DISPATCH)(Socket->Dispatch);


  107. // Set the completion routine for the IRP such that it is
  108. // only called if the receive operation succeeds.
  109. IoSetCompletionRoutine(
  110. Irp,
  111. ReceiveComplete,
  112. DataBuffer,  // Use the data buffer for the context
  113. TRUE,
  114. FALSE,
  115. FALSE
  116. );


  117. // Initiate the receive operation on the socket
  118. Status =
  119. Dispatch->WskReceive(
  120. Socket,
  121. DataBuffer,
  122. 0,  // No flags are specified
  123. Irp
  124. );


  125. // Return the status of the call to WskReceive()
  126. return Status;
  127. }


  128. // Receive IoCompletion routine
  129. NTSTATUS
  130. ReceiveComplete(
  131. PDEVICE_OBJECT DeviceObject,
  132. PIRP Irp,
  133. PVOID Context
  134. )
  135. {
  136. UNREFERENCED_PARAMETER(DeviceObject);


  137. PWSK_BUF DataBuffer;
  138. ULONG ByteCount;


  139. // Since the completion routine was only specified to
  140. // be called if the operation succeeds, this should
  141. // always be true.
  142. ASSERT(Irp->IoStatus.Status == STATUS_SUCCESS);


  143. // Check the pending status of the IRP
  144. if (Irp->PendingReturned == TRUE)
  145. {
  146. // Mark the IRP as pending
  147. IoMarkIrpPending(Irp);
  148. }


  149. // Get the pointer to the data buffer
  150. DataBuffer = (PWSK_BUF)Context;

  151. // Get the number of bytes received
  152. ByteCount = (ULONG)(Irp->IoStatus.Information);


  153. // Process the received data
  154. ...


  155. // Return STATUS_SUCCESS to continue the
  156. // completion processing of the IRP.
  157. return STATUS_SUCCESS;
  158. }
复制代码
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

龙马谷| C/C++辅助教程| 安卓逆向安全| 论坛导航| 免责申明|Archiver|
拒绝任何人以任何形式在本论坛发表与中华人民共和国法律相抵触的言论,本站内容均为会员发表,并不代表龙马谷立场!
任何人不得以任何方式翻录、盗版或出售本站视频,一经发现我们将追究其相关责任!
我们一直在努力成为最好的编程论坛!
Copyright© 2018-2021 All Right Reserved.
在线客服
快速回复 返回顶部 返回列表