[Question] Tìm hiểu về Firewall-Hook Driver |
30/04/2008 09:46:25 (+0700) | #1 | 128267 |
thupt86
Member
|
0 |
|
|
Joined: 30/03/2008 22:18:55
Messages: 5
Offline
|
|
Em đang tìm hiểu về Firewall-Hook Driver và được biết: Bắt đầu từ Windows 2000 và cao hơn, Microsoft cung cấp một phương pháp đặc biệt để kiểm soát các gói tin ra vào mạng trên mức IP . Phương pháp này hoạt động dựa trên cơ chế sau : Tất cả các gói tin IP trước khi đến được lớp cao hơn đều phải qua sự xử lí của IP driver, trong IP driver có một con trỏ hàm, trỏ đến hàm sẽ xử lí gói IP này . Theo mặc định, con trỏ hàm này trỏ về NULL và các gói IP luôn được mặc định đi tiếp . Tuy nhiên, nhờ vào cấu trúc này mà chúng ta có thể tạo một hàm xử lí gói IP của riêng mình , cho phép hay loại bỏ IP . Sau đó gán con trỏ hàm của IP driver tới hàm vừa tạo của chúng ta . Hàm xử lí gói IP nhất thiết phải làm việc ở mức Kernel, quá trình tạo hàm này như sau : Viết code trên ngôn ngữ C, tạo một driver làm việc ở mức Kernel, driver này sẽ làm nhiệm vụ gán con trỏ hàm của IP driver tới hàm mới của chúng ta ( Để biên dịch Driver sử dụng bộ công cụ DDK - Driver Devlopment Kit của Microsoft).
Em muốn tìm hiểu sâu hơn nữa về phương pháp này, cách sử dụng nó mong anh(chị) giúp em.Thanks |
|
|
|
|
[Question] Re: Tìm hiểu về Firewall-Hook Driver |
30/04/2008 15:35:08 (+0700) | #2 | 128294 |
LeVuHoang
HVA Friend
|
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
|
|
Bạn xem thêm ở đây nha.
http://www.codeproject.com/KB/IP/FwHookDrv.aspx
Hoàng không dùng C++ nên không giúp được nhiều. Bạn nhờ bác Z0rr0 vậy |
|
|
|
|
[Question] Re: Tìm hiểu về Firewall-Hook Driver |
01/05/2008 13:00:14 (+0700) | #3 | 128376 |
|
Look2Me
Member
|
0 |
|
|
Joined: 26/07/2006 23:30:57
Messages: 235
Location: Tủ quần nào
Offline
|
|
Để debug bạn nên cài bộ Windg của Microsft. Sử dụng cơ chế kernel debug: Một máy thật, 1 máy ảo. |
|
|
|
|
[Question] Re: Tìm hiểu về Firewall-Hook Driver |
01/05/2008 22:04:03 (+0700) | #4 | 128387 |
thupt86
Member
|
0 |
|
|
Joined: 30/03/2008 22:18:55
Messages: 5
Offline
|
|
Thực chất Filter-Hook Driver không phải là 1 trình điều khiển dành cho môi trường mạng, nó được xem như 1 trình điều khiển dành cho nhân của hệ thống (Kernel Mode Driver).
Quả thực mình mới tìm hiểu về nó, do khả năng dịch hiểu tiếng Anh hơn kém nên mình chưa thực sự nắm bắt được cách sử dụng, bạn có thể hướng dẫn mình cụ thể hơn 1 chút được k?
Mình thấy để debug Filter-Hook Driver phải dùng công cụ DDK của Microsoft.
Cảm ơn mọi người! |
|
|
|
|
[Question] Re: Tìm hiểu về Firewall-Hook Driver |
14/05/2008 07:36:54 (+0700) | #5 | 130415 |
chuaaico
Member
|
0 |
|
|
Joined: 18/06/2004 23:08:36
Messages: 1
Offline
|
|
Cái này phải dùng 1 cái cable nối cổng COM của 2 máy để debug. Sau đó từ máy debug có thể dừng hẳn máy kia lại để debug. Mình nghĩ nó phải dùng cơ chế 2 máy bởi khi động đến driver này, Windows sẽ dừng lại và như thế phải dùng máy khác điều khiển tiếp.
Nói chung đọc thì hơi loằng ngoằng nhưng cứ theo hướng dẫn là làm được hết. Mà hình như nó lập trình C chứ không phải C++.
Quy trình là bạn viết 1 driver, cài vào cho card mạng. Driver có 3 loại thì phải. Trong driver có thể dùng các cơ chế ghi log để debug hoặc dùng cách nối 2 máy như trên. Sau khi cài driver, bấm chuột phải network card, Properties sẽ thấy driver của mình. Đây chính là cách mà VMWare dùng để chia sẻ card mạng hay Ethereal dùng để bắt packets.
Lưu ý 1 điều là rất dễ làm Windows treo, bởi driver là lập trình ở cấp độ kernel rồi, kô phải application nữa |
|
|
|
|
[Question] Re: Tìm hiểu về Firewall-Hook Driver |
14/05/2008 08:28:20 (+0700) | #6 | 130424 |
|
Look2Me
Member
|
0 |
|
|
Joined: 26/07/2006 23:30:57
Messages: 235
Location: Tủ quần nào
Offline
|
|
"Sử dụng cơ chế kernel debug: Một máy thật, 1 máy ảo."
Bạn cài bộ Windbg lên, trong help của nó có hướng dẫn cách thiết lập máy ảo để debug.
Ngoài ra bạn cũng nên download bộ symbol của các file hệ thống của microsotf rất có ích trong debug driver.
|
|
|
|
|
[Question] Re: Tìm hiểu về Firewall-Hook Driver |
26/05/2008 07:20:33 (+0700) | #7 | 132802 |
lamer
Elite Member
|
0 |
|
|
Joined: 26/02/2008 13:28:49
Messages: 215
Offline
|
|
Mình đã viết một fw đơn giản bằng cách dùng filter driver như thế này.
Thật ra cái filter này không phải là một kernel mode driver mà có thể được viết thành một system service và khả năng lọc gói tin khá dễ dàng. Cách hoạt động đơn giản là kernel sẽ truyền gói tin cho filter driver, filter driver xem xét gói tin này và trả về có cho qua hay không cho qua. Kernel nhận kết quả trả về này để quyết định có truyền tiếp gói tin đó tới các lớp cao hơn không (ví dụ như lớp 7). |
|
|
|
|
[Question] Tìm hiểu về Firewall-Hook Driver |
12/02/2012 18:50:01 (+0700) | #8 | 253520 |
outlier
Member
|
0 |
|
|
Joined: 21/06/2011 10:03:15
Messages: 3
Offline
|
|
Em cũng đang muốn tìm hiểu thêm về vấn đề này, không biết có ebook nào không ạ ? Em cám ơn |
|
|
[Question] Tìm hiểu về Firewall-Hook Driver |
24/02/2012 06:55:14 (+0700) | #9 | 254977 |
|
.lht.
Member
|
0 |
|
|
Joined: 26/09/2010 10:06:38
Messages: 75
Location: Inside you
Offline
|
|
Tiêu đề của topic là thảo luận về Filter driver mà sao mấy bạn lại lôi chuyện debug vào đây nhỉ ?
Mà mình thắc mắc 1 điều, có cần thiết phải động đến "kernel-mode driver" không ? Hay "user-mode driver" cũng đủ để làm việc này ?
Phần lớn các tool AntiDDoS đều không hỗ trợ Win2008 cũng vì vấn đề này thì phải |
|
Trash from trash is the place for new good things ~ |
|
Users currently in here |
1 Anonymous
|
|
Powered by JForum - Extended by HVAOnline
hvaonline.net | hvaforum.net | hvazone.net | hvanews.net | vnhacker.org
1999 - 2013 ©
v2012|0504|218|
|
|