防火墙|网络
N-Byte网络守望者是一款单机版网络安全工具,简言之,就是一个用.NET开发的个人版防火墙。在N-Byte网络守望者1.0版的开发中,使用了NDIS Hook Driver技术来实现网络封包过滤功能,这使N-Byte网络守望者能够在网络层过滤网络封包,从而实现强大的功能。
由于软件的主程序是用C#写的,C#中没有提供具有类似DeviceIoControl函数功能的驱动设备控制函数,而NDIS Hook Driver技术下的驱动程序是用DDK下的C语言写的,为了能够实现主程序对驱动程序的控制和相互通信,采用了以下设计方案:
在以上方案中,需要一个负责主程序与NDIS Hook Driver驱动程序通信与控制的模块DriverDll.dll,并用C#编写的一个封装驱动程序中封包信息的模块,可以发送这个驱动程序信息到主程序,主程序可识别并操作模块中的数据类型。
在.NET应用程序使用驱动程序的问题上,面临着两个问题:
1.怎样实现.NET应用程序控制驱动程序的功能?
2.怎样从驱动程序向.NET应用程序传递非托管的数据类型?
以下是我们就这些问题的详细解决方法:
怎样实现.NET应用程序控制驱动程序的功能?
使用托管C++编写的DriverDll.dll来实现对驱动程序的直接控制,而主程序通过调用其中的方法来实现对驱动程序的间接控制。比如在NByte.h文件中定义了START_IP_HOOK常数用来作为传给驱动程序用来开启驱动程序封包过滤功能的参数,下面在托管C++模块中定义了IoCtrl托管类并定义了下面的向缓冲区写入参数的方法:
//向缓冲区写入数据。
DWORD WriteIo(DWORD code,PVOID buffer,DWORD count)
{
if(hDriverHandle == NULL)
return ERROR_DRIVER_HANDLE;
DWORD bytesReturned;
BOOL returnCode = DeviceIoControl(hDriverHandle,
code,
buffer,
count,
NULL,
0,
&bytesReturned,
NULL);
if(!returnCode)
return ERROR_IO_CTRL;
return SUCCESS;
}
当然直接使用这个方法不太方便,所以定义一个公有函数,用来提供给主程序调用:
//开始进行封包过滤
bool StartIpHook()
{
return (WriteIo(START_IP_HOOK, NULL, 0)==SUCCESS);
}
这样,只要在主程序中声明IoCtrl的对象ic,就可以通过ic.StartIpHook()就可以实现对驱动程序过滤功能的开启,用同样的方法也可以实现对驱动程序进行其它操作,比如添加、修改封包过滤规则等。
怎样从驱动程序向.NET应用程序传递非托管的数据类型?
为了能够输出安全日志,必须让主程序获得驱动程序中的封包信息。使用信号量机制可以很方便的实现驱动程序和非托管代码间的信息传递,那么对托管代码呢?这需要向.NET应用程序传递非托管的数据类型ACCESS_INFO。在NByte.h中,是这样定义这个ACCESS_INFO结构的:
typedef struct _ACCESS_INFO
{
USHORT protocol;
ULONG sourceIp;
ULONG destinationIp;
USHORT sourcePort;
USHORT destinationPort;
}ACCESS_INFO;
显然,直接传递非托管数据类型是不可以的,需要转换一下。首先,在IoCtrl类中定义了几个要传递的封包信息参数:
public __gc class IoCtrl
{
public:
USHORT protocol; //网际协议类型
ULONG sourceIp; //源IP地址
ULONG destinationIp; //目的IP地址
USHORT sourcePort; //源端口
USHORT destinationPort; //目的端口
………………
}
然后,在GetAccessInfo()函数中来给这些参数赋值:
void GetAccessInfo()
{
ACCESS_INFO ai;
bool result=(ReadIo(GET_INFO,&ai,sizeof(ai))==SUCCESS);
this->protocol=ai.protocol;
this->sourceIp=ai.sourceIp;
this->destinationIp=ai.destinationIp;
this->sourcePort=ai.sourcePort;
this->destinationPort=ai.destinationPort;
}
既然在IoCtrl类中获得了这些信息,但是需要把它们封装成主程序容易处理的数据类型,这样,用C#实现了InfoEvent类用来封装这些信息:
//本类封装了数据包的详细信息,可以通过事件实现对它的模块间传递。
public class InfoEvent:EventArgs
{
string sInfo; //用来存放输出信息的私有成员
public int pLength; //CommonFunction.sPort数组的长度
public ushort protocol; //网络通信协议类型
public uint sourceIp; //数据包的源IP
public uint destinationIp; //数据包的目的IP
public ushort sourcePort; //数据包的源端口
public ushort destinationPort; //数据包的目的端口
………………………………
}
下面在用托管C++实现的InfoProvider驱动程序信息提供者类中把个InfoEvent类的对象传递给主程序,需要使用一个委托生成一个事件:
//声明委托事件,用来向主程序传递数据。
__delegate void DriverInfo(Object* sender, InfoEvent* e);
//声明响应事件函数。
__event DriverInfo* OnDriverInfo;
然后在InfoProvider驱动程序信息提供者类中定义一个方法,在主程序中以线程的方式运行这个方法,在这个方法中使用了事件函数OnDriverInfo:
//用来获得驱动程序信息的进程,在主程序中将开启该进程。
void GetInfoThreadProc()
{
this->hEvent=OpenEvent(SYNCHRONIZE,FALSE,"NBEvent");
if(!ic->GetDriverHandle())
{
return;
}
while(true)
{
f(!hEvent)
ExitThread(0);
WaitForSingleObject(this->hEvent,INFINITE);
nPackets++;
ic->GetAccessInfo();
ic->ResetEvent();
//定义一个主程序可以识别的对象,通过OnDriverInfo传给主程序。
InfoEvent*ie=new InfoEvent(ic->protocol,ic->sourceIp,ic->destinationIp,ic->sourcePort,ic->destinationPort);
OnDriverInfo(this,ie);
}
ic->CloseDriverHandle();
return;
}
在主程序中,会开启这个进程并定义了OnDriverInfo的处理函数DealWithInfo:
pInfo=new InfoProvider();
//开启与驱动交换信息的进程
FilterThread=new Thread(new ThreadStart(pInfo.GetInfoThreadProc));
FilterThread.IsBackground=true;
FilterThread.Start();
pInfo.OnDriverInfo+=new InfoProvider.DriverInfo(DealWithInfo);
这样主程序就可以在DealWithInfo函数中加入对InfoEvent对象的处理了。可见,通过中间模块IoCtrl的转换,便实现了.NET主程序对驱动程序中非托管数据类型的获取和处理。