首页
论坛
课程
招聘
[求助]使用WFP框架,修改指定第三方进程的数据包,应该在那一层处理?
2019-6-30 17:50 2740

[求助]使用WFP框架,修改指定第三方进程的数据包,应该在那一层处理?

2019-6-30 17:50
2740
现在想修改特定进程的数据包,把发出去的数据包加密,指定的第三方进程。应该在哪一层处理?
看文档ALE可以得到进程信息,但是这次好像只是能收到listen,bind,accept,connect相关的事件,得不到NET_BUFFER_LIST数据包以及修改数据包了。
IP层,传输层, Stream 层 可以得到NET_BUFFER_LIST,但是好像得不到pid进程信息

希望对此比较了解的大侠指点一二,可能我有知识盲点,有些地方还不知道。


[看雪官方培训] Unicorn Trace还原Ollvm算法!《安卓高级研修班》2021年6月班火热招生!!

收藏
点赞0
打赏
分享
最新回复 (5)
雪    币: 1689
活跃值: 活跃值 (496)
能力值: ( LV3,RANK:35 )
在线值:
发帖
回帖
粉丝
StriveXjun 活跃值 2019-6-30 19:02
2
0
用lsp 做啊 ,多方便
雪    币: 9437
活跃值: 活跃值 (1338)
能力值: ( LV5,RANK:61 )
在线值:
发帖
回帖
粉丝
Sprite雪碧 活跃值 1 2019-6-30 21:21
3
0
FWPM_LAYER_OUTBOUND_TRANSPORT_V4 / FWPM_LAYER_OUTBOUND_TRANSPORT_V6

This filtering layer is located in the send path just after a sent packet has been passed to the network layer for processing but before any network layer processing takes place. This filtering layer is located at the top of the network layer instead of at the bottom of the transport layer so that any packets that are sent by third-party transports or as raw packets are filtered at this layer.

试试这个,Pid在参数2里
雪    币: 112
活跃值: 活跃值 (28)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
dragonwang 活跃值 2019-7-1 10:38
4
0
谢谢,我试一下这层能不能得到,看文档https://docs.microsoft.com/zh-cn/windows/desktop/FWP/application-layer-enforcement--ale- 
说ALE layers are the only WFP layers where network traffic can be filtered based on the application identity—using a normalized file name—and based on the user identity—using a security descriptor. 
雪    币: 3228
活跃值: 活跃值 (265)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
shuyangzjg 活跃值 2019-7-1 17:18
5
0
windivert 呢
雪    币: 291
活跃值: 活跃值 (33)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
那么骄傲丶 活跃值 2019-7-11 10:51
6
0
1.STREAM层的数据不包含IP头,修改包数据更加方便。STREAM_LAYER改TCP包,DATAGRAM_DATA层改UDP包。
2.用FwpsFlowAssociateContext绑定流上下文,把ALE层的数据传递到上述层。
游客
登录 | 注册 方可回帖
返回