NDIS网络数据监控程序NDISMonitor（2）-----驱动与应用的中间层NdisHook

转载请标明是引用于 http://blog.csdn.net/chenyujing1234 

欢迎大家拍砖!

 

本工程是驱动vpcknt的一个封闭层而已，比较简单。

一、导出的API接口分析

1、Start

（1）加载驱动vpcknt.sys。

vpcknt.sys是从工程的资源文件中通过CreateDriverFileFromAppResources加载的。（所以启动NDIS时金山杀毒软件会警告）

得到驱动文件后调用StartVersionedDeviceDriver把驱动.sys加载。 （加载过程中还通过驱动读取了版本）

（驱动加载方法通过服务的方式，与前面文章<<虚拟桌面：一个简单的桌面管理工具>>是一样的）     

（2）初始化PINITIALIZE_HOOK_INPUT的两个变量pihiHookInput 、pihoHookOutput；

          且通过调用驱动的IOCTL_VPCKNT_INITIALIZE_HOOK初始化pihoHookOutput数据和PNT_PROTOCOL_LIST指针（即协议列表）；

2、Stop

卸载驱动

3、Listen

OALIST_ITEM类型的数据指针作为入参数，驱动IO码为IOCTL_VPCKNT_SUBMIT_OALIST的调用，目的是提交OALIST数据。

4、WaitForPacket

这里先去判断上一个包状态中的bArePacketsRemaining标志，如果它为TRUE，表还有数据，那么直接去读；

否则调用WaitForMultipleObjects等待内核事件；

HANDLE		vhHandles[] = { g_hKernelEvent, g_hExitFromThread };

		DWORD		dwWaitRes = g_hsPrevStats.bArePacketsRemaining ? WAIT_OBJECT_0 :
			::WaitForMultipleObjects( 2, vhHandles, FALSE, INFINITE );

 

获得包和数据包的状态

DWORD		dwBytesReturned = 0;
			BOOL		bIoctlRes = ::DeviceIoControl( g_hDevice, IOCTL_VPCKNT_GET_NEXT_PACKET,
				NULL, 0,
				g_pbStorage, MACRO_STORAGE_BUFFER_SIZE,
				& dwBytesReturned, NULL );

			if ( bIoctlRes != FALSE && dwBytesReturned != 0 )
			{
				// allocate the packet memory.

				BYTE*			pb = (BYTE*) ::malloc( dwBytesReturned );
				if ( pb == NULL )
					return FALSE;
				else
					::memcpy( pb, g_pbStorage, dwBytesReturned );

				// return.

				g_hsPrevStats = * (HOOK_STATS*) pb;

				if ( psStats )
					* psStats = * (HOOK_STATS*) pb;

				* pppPacketPtr = (PNEXT_PACKET) ( pb + sizeof( HOOK_STATS ) );

 

 

 

 

二、总结：

1、原子操作

通过原子操作能保证在多线程时保证得调用完Start，才能使用Listen和Stop，起到的作用与关键代码类似。

（1）在Start开始时：

EHS_INITIALIZING为1；

EHS_NOT_INITIALIZED为0；

LONG			prev = ::InterlockedCompareExchange( & g_lHooked, EHS_INITIALIZING, EHS_NOT_INITIALIZED );
	if ( prev != EHS_NOT_INITIALIZED )
		return FALSE;

g_lHooked最开始为0，上面的代码后g_lHooked为  1  ；

（2）在Start结束时：

g_lHooked = EHS_FUNCTIONING;

EHS_FUNCTIONING为 2 ；

（3）在Stop里： 

EHS_FUNCTIONING 为 2；

EHS_STOPPING 为 3 ；

LONG			prev = ::InterlockedCompareExchange( & g_lHooked, EHS_STOPPING, EHS_FUNCTIONING );
	if ( prev != EHS_FUNCTIONING )
		return;

因为经过了Start 的结束后g_lHooked为 2 ； 所以经过上面的代码后g_lHooked 为  3 ；

1、InterlockedCompareExchange

InterlockedCompareExchange属于Interlocked系列互锁函数之一，常用于多线程编程。

类似的还有下面的几个：

//增减

（1） LONG InterlockedIncrement(IN OUT LONG volatile *lpAddend);

　　lpAddend为长整型变量的地址，返回值为原始值。这个函数的主要作用是原子性自增(相当于++操作)。

（2） LONG InterlockedDecrement(IN OUT LONG volatile *lpAddend);

　　lpAddend为长整型变量的地址，返回值为原始值。这个函数的主要作用是原子性自减(相当于--操作)。

（3） LONG InterlockedExchangeAdd ( LPLONG Addend, LONG Increment );

　　Addend为长整型变量的地址，Increment为想要在Addend指向的长整型变量上增加的数值（可以是负数）。这个函数的主要作用是保证这个加操作为一个原子访问。

　　//交换

（4） LONG InterlockedExchange( LPLONG Target, LONG Value );

　　用第二个参数的值取代第一个参数指向的值。函数返回值为原始值。

（5） PVOID InterlockedExchangePointer( PVOID *Target, PVOID Value );

　　用第二个参数的值取代第一个参数指向的值。函数返回值为原始值。

      //比较交换

（6） LONG InterlockedCompareExchange( LPLONG Destination, LONG Exchange, LONG Comperand );

　　如果第三个参数与第一个参数指向的值相同，那么用第二个参数取代第一个参数指向的值。函数返回值为原始值。

（7） PVOID InterlockedCompareExchangePointer ( PVOID *Destination, PVOID Exchange, PVOID Comperand );

　　如果第三个参数与第一个参数指向的值相同，那么用第二个参数取代第一个参数指向的值。函数返回值为原始值。