Discussion :

[let_me_in]

bonjour tout le monde,

ça fait un bon moment que je cherche avec Mr google une solution mais sans resultat, donc je me suis retourné a la bonne vielle methode : demander de l'aide !

ce que je veux faire c'est intercepter le traffic provenant du net, au debut j'allais detourner la fonction recv de ws2_32.dll mais quand j'ai atteint la gestion de la memoire de windows, j'ai fuis .

ensuite j'ai voulu faire un driver mais la je me plante, que dois-je fournir a la fonction IoAttachDeviceToDeviceStack ? j'ai essayé la valeur retournée par IoGetDeviceObjectPointer une fois en lui passant le nom de mon driver, l'autre en lui passant "Ndis", mais sans resultat

alors s'il y a ici un pro du developpement des drivers, ou bien qq d'autre je ne sais pas, moi je suis nul en tout cas, qui puisse m'aider ou me suggerer quelque chose, je suis preneur.

merci d'avance.

[Taron31]

Bonjour, j'ai eu moi aussi à récupérer dans un projet tous les flux entrants de toutes les cartes réseaux présentes sur la machine. Pour celiononcta j'ai aussi développé un petit Driver, un driver qui hook les routines des drivers NDIS (fonctions receive des drivers) afin de tout capter, je ne peux te donner le code mais un lien :

http://rootkit.com/search.php?srch=NDIS

Je trouve que c'est une technique très performante, car tu sniffes tout le traffic au plus bas niveau qu'il soit, c'est-à-dire juste au dessus du matériel réseau. Tellement bas que tu captes le traffic avant le driver de winpcap, par ex je me suis amusé a tout dropé, et ethereal ne sniffait plus rien..


Bon courage.

[let_me_in]

bonjour et merci pour ta reponse, je commençais a desesperer apres une jounée d'attente

mais comme tu viens de dire c'est du bas niveau qu'on parle la, ce que je veux moi c'est le plus haut niveau possible avant l'application, je vais m'expliquer, j'ai serveur proxy qui compresse les page html et images et les envoi au client, au nivrau du client je dois decompresser les textes avant de les forwarder a l'application, donc ce qui m'aiderai bien c'est de recuperer le tout en un seul coup.

a tu une idée de ce qui peut m'aider ? sinon je vais m'aventurer a tout reconstruire et puis traiter .

merci d'avance.

[Taron31]

eh ben si tu veux du plus haut niveau, t'as qu'à utiliser la bibliothèque winpcap et basta, tu pourras sniffer tout les flux réseaux comme ça...

[let_me_in]

je viens de teser un petit programme avec winpcap, il parait qu'il me donne pas la main pour modifier les données.

sinon je me suis lancé dans un driver a partir d'un example du premier lien (NDIS and TDI Hooking, Part II), mais j'obtient un BSoD .

voici mon code :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
#include "networkTest.h"

NTSTATUS DriverEntry(IN PDRIVER_OBJECT pDriverObjectNetwork,

                    IN PUNICODE_STRING RegistryPath )

{

	NTSTATUS status;

	DbgPrint("Driver Entry Called...");

	pDriverObjectNetwork->DriverUnload = OnUnload;

	status = HookTDI();  

	if (STATUS_SUCCESS != status) OnUnload(pDriverObjectNetwork);
	
	DbgPrint("HookTDI Terminated");

	return status;

}




void OnUnload (IN PDRIVER_OBJECT  pDriverObject){
  
	DbgPrint("Unload Called : \r\n");

	ReleaseTDIDevices();

	
} 

NTSTATUS HookTDI(void)
{
    NTSTATUS Status;
    UNICODE_STRING usDriverName;
    PDRIVER_OBJECT DriverObjectToHookPtr;
    UINT i;

	DbgPrint("HookTDI Called..");

    RtlInitUnicodeString(&usDriverName,L"\\Driver\\Tcpip");

    Status =
ObReferenceObjectByName(&usDriverName,OBJ_CASE_INSENSITIVE,NULL,0,IoDriverObjectType,KernelMode,NULL,&DriverObjectToHookPtr);
    if(Status != STATUS_SUCCESS) return Status;

    for(i = 0;i < IRP_MJ_MAXIMUM_FUNCTION;i++) {
        RealTDIDriverObject.MajorFunction[i] =
DriverObjectToHookPtr->MajorFunction[i];
        DriverObjectToHookPtr->MajorFunction[i] = TDIDeviceDispatch;
    }
	
	DbgPrint("HookTDI terminated successfully..");

    return STATUS_SUCCESS;
}

NTSTATUS TDIDeviceDispatch(IN PDEVICE_OBJECT DeviceObject,IN PIRP Irp)
{
    NTSTATUS Status;
    PIO_STACK_LOCATION StackLocationPtr;

	DbgPrint("1..");

    if(Irp == NULL) return STATUS_SUCCESS;

    StackLocationPtr = IoGetCurrentIrpStackLocation(Irp);
    if(StackLocationPtr->CompletionRoutine != NULL) StackLocationPtr->Context =
StackLocationPtr->CompletionRoutine;
    else StackLocationPtr->Context = NULL;

	DbgPrint("2..");

    StackLocationPtr->CompletionRoutine =
(PIO_COMPLETION_ROUTINE)TDICompletionRoutine;
    StackLocationPtr->Control = SL_INVOKE_ON_SUCCESS |
								SL_INVOKE_ON_ERROR |
								SL_INVOKE_ON_CANCEL;

    Status =
RealTDIDriverObject.MajorFunction[StackLocationPtr->MajorFunction](DeviceObject,Irp,null);
	
	DbgPrint("3..");

    return Status;
}


NTSTATUS TDICompletionRoutine(PDEVICE_OBJECT DeviceObject,PIRP Irp,PVOID
Context)
{
    PIO_COMPLETION_ROUTINE RealCompletionRoutine = (PIO_COMPLETION_ROUTINE)Context;
	
	DbgPrint("4..");

    if(Context != NULL) return RealCompletionRoutine(DeviceObject,Irp,NULL);
    else return STATUS_SUCCESS;
}

NTSTATUS ReleaseTDIDevices(void)
{
    NTSTATUS Status;
    UNICODE_STRING usDriverName;
    PDRIVER_OBJECT DriverObjectToHookPtr;
    UINT i;

    RtlInitUnicodeString(&usDriverName,L"\\Driver\\Tcpip");

	DbgPrint("5..");

    Status =
ObReferenceObjectByName(&usDriverName,OBJ_CASE_INSENSITIVE,NULL,0,IoDriverObjectType,KernelMode,NULL,&DriverObjectToHookPtr);
    if(Status != STATUS_SUCCESS) return Status;

	DbgPrint("6..");

    for(i = 0;i < IRP_MJ_MAXIMUM_FUNCTION;i++)
        DriverObjectToHookPtr->MajorFunction[i] =
RealTDIDriverObject.MajorFunction[i];

    return STATUS_SUCCESS;
}

apres le crash, j'obtient :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
Driver Entry Called...
HookTDI Called..
HookTDI terminated successfully..
HookTDI Terminated
1..
2..
4..

ça te dis quelque chose ? merci infiniment.

PS : dans le code j'ai du modifier le COMPLETIONROUTINE du code d'origine par PIO_COMPLETION_ROUTINE, j'arrivais pas a trouver la definition de COMPLETINOROUTINE.

[Taron31]

franchement je ne sais pas désolé, j'ai pas regardé la partie II de cet article, je me suis entièrement aidé de la partie I de cet article pour coder le driver à la main...

[let_me_in]

d'accord, merci quand meme, tu m'as mis sur le bon chemin la.

en attendans l'avis d'un specialiste, je fais un wait() .