围观网络之三 -- 浅探索NDIS5.1(2)

2023-12-03 00:32
文章标签 网络 探索 之三 围观 ndis5.1

本文主要是介绍围观网络之三 -- 浅探索NDIS5.1(2),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

二、       各个组件的绑定

1.       生成设备

 

当PNP管理器检测到有NIC的时候,会遍历所有注册的微端口驱动,通知他们要AddDevice ,从ndisRegisterMiniportDriver可以看到这个过程已经被NDIS托管

 

int __stdcall ndisAddDevice(int DriverObject, _UNICODE_STRING **SourceString, PDEVICE_OBJECTTargetDevice, char a4)

 

ndisAddDevice的大体逻辑是:

a, DriverBlock = IoGetDriverObjectExtension(DriverObject, 'NMID'); 得到驱动的 驱动块(DriverHandle) ,遍历ndisMiniDriverList 找到与之对应的节点

 

b, 创建一个设备对象,attach到\Device\PnPManager

其中 微端口设备块(_NDIS_MINIPORT_BLOCK)作为设备扩展的一部分miniPortBlock = (DeviceObject->DeviceExtension+ 72);

 

这是一个非常大的结构,在AddService中主要对这个结构一些初始化,需要注意的是以下几点

 

 *(DeviceObject->DeviceExtension + 20) = _DriverBlock; 设备扩展前面这个结构0x48的小结构没有搞清,但可以明确这里保存了驱动块miniPortBlock->PrimaryMiniport =miniPortBlock;miniPortBlock->PhysicalDeviceObject =_TargetDevice;   //指向挂载的设备miniPortBlock->DeviceObject = DeviceObject;                 //指向自己所属的驱动设备
miniPortBlock->NextDeviceObject =TargetDevice;miniPortBlock->WrapperContext =DeviceObject->DeviceExtension;     指向设备扩展miniPortBlock->NextGlobalMiniport = ndisMiniportList;挂入全局链表ndisMiniportList = miniPortBlock;


 

2.协议帮顶下层真实微端口驱动

PART ONE 绑定初始化

 

在passthru!PtBindAdpter被调用时可以看到堆栈

 

Passthru!PtBindAdapter
NDIS!ndisInitializeBinding
NDIS!ndisCheckAdapterBindings
NDIS!ndisCheckProtocolBindings
NDIS!NdisReEnumerateProtocolBindings
Passthru!PtPnPNetEventReconfigure
Passthru!PtPNPHandler
NDIS!ndisIMCheckDeviceInstance
NDIS!ndisPnPDispatch
nt!IopfCallDriver
nt!IopSynchronousCall
nt!IopStartDevice
nt!PipProcessStartPhase1
nt!PipProcessDevNodeTree
nt!PiRestartDevice
nt!PipDeviceActionWorker
nt!ExpWorkerThread
nt!PspSystemThreadStartup
nt!KiThreadStartup


 

PNP管理器检索一个驱动设备并调用nt!IopStartDevice 这里之前和WDM都一样

 

NDIS!ndisPnPDispatch托管函数托管了IRP_MJ_PNP 

 

IRP_MN_START_DEVICE的时候将执行以下代码


if (!Minor ) {pMiniPortBlock->PnPFlags =&_NULL_IMPORT_DESCRIPTOR | pMiniPortBlock->PnPFlags & 0xFFFFFFEF;IrpSp = v6->Tail.Overlay.___u4.CurrentStackLocation;
memcpy(&IrpSp[-1], IrpSp, 0x1Cu);*(&IrpSp->Control - 36) = 0;v5 = ndisPassIrpDownTheStack(pIrp, v14);  //向设备栈下一层下发if ( v5 >= 0 ){_DriverBlock =pMiniPortBlock->DriverHandle;if ( _DriverBlock->Flags & 1 ) //这个标志表示这是一个中间层驱动的 驱动块{BYTE1(pMiniPortBlock->Flags) |=0x80u;if (ndisIMCheckDeviceInstance(_DriverBlock, &pMiniPortBlock->MiniportName,&pDevObj) ){KeWaitForSingleObject(&pMiniPortBlock->DriverHandle->IMStartRemoveMutex,0, 0, 0, 0);v5 = ndisIMInitializeDeviceInstance(pMiniPortBlock,pDevObj, 1);KeReleaseMutex(&pMiniPortBlock->DriverHandle->IMStartRemoveMutex,0);}}Else //否则这是一个miniport{if (ndisPnPStartDevice(pDevObj, pIrp)== 0 && BYTE2(pMiniPortBlock->Flags) & 2  &&  !ndisMediaTypeCl[p

这篇关于围观网络之三 -- 浅探索NDIS5.1(2)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


http://www.chinasem.cn/article/447442

相关文章

C++对象布局及多态实现探索之内存布局(整理的很多链接)

C++对象布局及多态实现探索之内存布局(整理的很多链接)

本文通过观察对象的内存布局,跟踪函数调用的汇编代码。分析了C++对象内存的布局情况,虚函数的执行方式,以及虚继承,等等 文章链接:http://dev.yesky.com/254/2191254.shtml      论C/C++函数间动态内存的传递 (2005-07-30)   当你涉及到C/C++的核心编程的时候,你会无止境地与内存管理打交道。 文章链接:http://dev.yesky
阅读更多...
一份LLM资源清单围观技术大佬的日常;手把手教你在美国搭建「百万卡」AI数据中心;为啥大模型做不好简单的数学计算? | ShowMeAI日报

一份LLM资源清单围观技术大佬的日常;手把手教你在美国搭建「百万卡」AI数据中心;为啥大模型做不好简单的数学计算? | ShowMeAI日报

👀日报&周刊合集 | 🎡ShowMeAI官网 | 🧡 点赞关注评论拜托啦! 1. 为啥大模型做不好简单的数学计算?从大模型高考数学成绩不及格说起 司南评测体系 OpenCompass 选取 7 个大模型 (6 个开源模型+ GPT-4o),组织参与了 2024 年高考「新课标I卷」的语文、数学、英语考试,然后由经验丰富的判卷老师评判得分。 结果如上图所
阅读更多...
【Altium】查找PCB上未连接的网络

【Altium】查找PCB上未连接的网络

【更多软件使用问题请点击亿道电子官方网站】 1、文档目标: PCB设计后期检查中找出没有连接的网络 应用场景:PCB设计后期,需要检查是否所有网络都已连接布线。虽然未连接的网络会有飞线显示,但是由于布线后期整板布线密度较高,虚连,断连的网络用肉眼难以轻易发现。用DRC检查也可以找出未连接的网络,如果PCB中DRC问题较多,查找起来就不是很方便。使用PCB Filter面板来达成目的相比DRC
阅读更多...
通信系统网络架构_2.广域网网络架构

通信系统网络架构_2.广域网网络架构

1.概述          通俗来讲,广域网是将分布于相比局域网络更广区域的计算机设备联接起来的网络。广域网由通信子网于资源子网组成。通信子网可以利用公用分组交换网、卫星通信网和无线分组交换网构建,将分布在不同地区的局域网或计算机系统互连起来,实现资源子网的共享。 2.网络组成          广域网属于多级网络,通常由骨干网、分布网、接入网组成。在网络规模较小时,可仅由骨干网和接入网组成
阅读更多...
Toolbar+DrawerLayout使用详情结合网络各大神

Toolbar+DrawerLayout使用详情结合网络各大神

最近也想搞下toolbar+drawerlayout的使用。结合网络上各大神的杰作,我把大部分的内容效果都完成了遍。现在记录下各个功能效果的实现以及一些细节注意点。 这图弹出两个菜单内容都是仿QQ界面的选项。左边一个是drawerlayout的弹窗。右边是toolbar的popup弹窗。 开始实现步骤详情: 1.创建toolbar布局跟drawerlayout布局 <?xml vers
阅读更多...
探索蓝牙协议的奥秘:用ESP32实现高质量蓝牙音频传输

探索蓝牙协议的奥秘:用ESP32实现高质量蓝牙音频传输

蓝牙(Bluetooth)是一种短距离无线通信技术,广泛应用于各种电子设备之间的数据传输。自1994年由爱立信公司首次提出以来,蓝牙技术已经经历了多个版本的更新和改进。本文将详细介绍蓝牙协议,并通过一个具体的项目——使用ESP32实现蓝牙音频传输,来展示蓝牙协议的实际应用及其优点。 蓝牙协议概述 蓝牙协议栈 蓝牙协议栈是蓝牙技术的核心,定义了蓝牙设备之间如何进行通信。蓝牙协议
阅读更多...
探索Elastic Search:强大的开源搜索引擎,详解及使用

探索Elastic Search:强大的开源搜索引擎,详解及使用

🎬 鸽芷咕:个人主页  🔥 个人专栏: 《C++干货基地》《粉丝福利》 ⛺️生活的理想,就是为了理想的生活! 引入 全文搜索属于最常见的需求,开源的 Elasticsearch (以下简称 Elastic)是目前全文搜索引擎的首选,相信大家多多少少的都听说过它。它可以快速地储存、搜索和分析海量数据。就连维基百科、Stack Overflow、
阅读更多...
使用 GoPhish 和 DigitalOcean 进行网络钓鱼

使用 GoPhish 和 DigitalOcean 进行网络钓鱼

配置环境 数字海洋VPS 我创建的丢弃物被分配了一个 IP 地址68.183.113.176 让我们登录VPS并安装邮件传递代理: ssh root@68.183.113.176apt-get install postfix 后缀配置中的点变量到我们在 DigitalOcean 中分配的 IP:mynetworks nano /etc/postfix/main.cf
阅读更多...
Linux网络编程之循环服务器

Linux网络编程之循环服务器

1.介绍 Linux网络循环服务器是指逐个处理客户端的连接,处理完一个连接后再处理下一个连接,是一个串行处理的方式,比较适合时间服务器,DHCP服务器.对于TCP服务器来说,主要阻塞在accept函数,等待客户端的连接。而对于UDP服务器来说,主要阻塞在recv函数. 2.循环服务器模型 TCP循环服务器: 算法如下:          socket(...);
阅读更多...
Linux网络编程之简单并发服务器

Linux网络编程之简单并发服务器

1.概念 与前面介绍的循环服务器不同,并发服务器对服务请求并发处理。而循环服务器只能够一个一个的处理客户端的请求,显然效率很低. 并发服务器通过建立多个子进程来实现对请求的并发处理,但是由于不清楚请求客户端的数目,因此很难确定子进程的数目。因此可以动态增加子进程与事先分配的子进程相结合的方法来实现并发服务器。 2. 算法流程 (1)TCP简单并发服务器:     服务器子进程1:
阅读更多...

Copyright China编程 23002807@qq.com

沪ICP备2023033072号-2