CHANGMEN的个人博客,专注于网络安全领域。
内核驱动WFP过滤平台
最近更新:2026-05-01   |   字数总计:1.1k   |   阅读估时:4分钟   |   阅读量:
  1. 参考
  2. ClassifyFn
  3. windbg寻找内核数据结构
    1. 关键全局变量
      1. gWfpGlobal(WFP 总控结构)
    2. 定位 Callout 数组
      1. 通过反汇编 GetCalloutEntry 确定偏移
      2. 读取 count 和数组基址
    3. Callout Entry 结构
      1. Entry 大小计算
      2. Entry 内部偏移布局
    4. 完整遍历命令
      1. 验证第一个 entry 的结构
      2. 遍历全部有效 callout
      3. 只打印函数指针(更简洁)
  4. 脚本

参考

https://github.com/V-i-x-x/kernel-callback-removal/blob/main/NetworkKernelBypass/Readme.md

https://github.com/0mWindyBug/WFPCalloutReserach

如下图,我们大概就可以知道wfp在做什么,我们进行绕过的话,主要针对的就是这个callout的classifyFn

image-20260501184000519

ClassifyFn

第三方驱动通过调用 FwpsCalloutRegister 注册自己的回调函数(callout),WFP 将所有 callout 统一存储在 netio.sys 管理的全局表中。下面代码简单看一下注册 Callout的流程,就可以知道,我们可以主动写这个classifyFn,里面写上一些处理逻辑,那么我们绕过的思路,就是把这个MyClassifyFn替换成没啥用的函数,那么就可以致盲了。

注册 Callout:在驱动入口函数中,填充注册结构体并向引擎注册:

1
2
3
4
5
6
FWPS_CALLOUT sCallout = {0};
sCallout.calloutKey = MyCalloutGUID; 
sCallout.classifyFn = MyClassifyFn; // 指向你的实现函数
sCallout.notifyFn = MyNotifyFn;     // 用于处理状态变迁
// ...
status = FwpsCalloutRegister(deviceObject, &sCallout, &calloutId);

编写 ClassifyFn 逻辑

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
void MyClassifyFn(
    const FWPS_INCOMING_VALUES0 *inFixedValues,
    const FWPS_INCOMING_METADATA_VALUES0 *inMetaValues,
    void *layerData,
    const void *classifyContext,
    const FWPS_FILTER1 *filter,
    UINT64 flowContext,
    FWPS_CLASSIFY_OUT0 *classifyOut)
{
    // 假设出站传输层,数据字段索引定义明确
    UINT8 protocol = inFixedValues->incomingValue[FWPS_FIELD_OUTBOUND_TRANSPORT_V4_IP_PROTOCOL].value.uint8;

    // 检查是否为 TCP 流量
    if (protocol == IPPROTO_TCP) {
        // 判断为 TCP,决定阻止
        classifyOut->actionType = FWP_ACTION_BLOCK;
        // 清除动作写入标志,避免被冲突
        classifyOut->rights &= ~FWPS_RIGHT_ACTION_WRITE;
    } else {
        // 不是 TCP,放行,并让引擎继续评估后续筛选器
        classifyOut->actionType = FWP_ACTION_CONTINUE;
    }
}

windbg寻找内核数据结构

关键全局变量

gWfpGlobal(WFP 总控结构)

1
x netio!gWfpGlobal

输出示例:

1
fffff801`850ec510  netio!gWfpGlobal

这是一个指针,指向 WFP 的全局控制结构(类型未公开符号)。

取出指针值:

1
dp netio!gWfpGlobal L1

示例结果:

1
fffff801`850ec510  ffffbb08`8dcdf460   <- 全局结构基址

定位 Callout 数组

通过反汇编 GetCalloutEntry 确定偏移

WFP 内部用 GetCalloutEntry(calloutId, &entry) 来根据 ID 查找 callout。反汇编它可以直接读出数组偏移:

1
uf NETIO!GetCalloutEntry

关键汇编片段:

1
2
3
4
mov  r8, qword ptr [NETIO!gWfpGlobal]    ; r8 = 全局结构基址
cmp  ecx, dword ptr [r8 + 0x190]         ; ecx = calloutId,与 count 比较
...
add  rcx, qword ptr [r8 + 0x198]         ; rcx += 数组基址

由此得出全局结构的两个关键偏移:

偏移 含义
+0x190 callout 槽位总数(count,DWORD)
+0x198 callout 数组基址(指针)

读取 count 和数组基址

假设全局结构基址为 BASE(从 gWfpGlobal 取得):

1
2
dd BASE+0x190 L1    ; 读 count(DWORD)
dq BASE+0x198 L1    ; 读数组基址(QWORD 指针)

实际示例:

1
2
3
4
5
1: kd> dd 0xffffbb088dcdf460+0x190 L1
ffffbb08`8dcdf5f0  00000400            ; count = 0x400 = 1024 个槽位

1: kd> dq 0xffffbb088dcdf460+0x198 L1
ffffbb08`8dcdf5f8  ffffbb08`8ddec000   ; 数组基址

Callout Entry 结构

Entry 大小计算

GetCalloutEntry 反汇编:

1
2
3
4
mov  eax, ecx           ; eax = index
lea  rcx, [rax+rax*4]   ; rcx = index * 5
shl  rcx, 4             ; rcx = index * 5 * 16 = index * 0x50
add  rcx, [r8+0x198]    ; 加上数组基址

每个 entry 大小 = 0x50 字节(80字节)

Entry 地址 = 数组基址 + index × 0x50

Entry 内部偏移布局

通过实际 dump 确认的偏移:

偏移 大小 含义
+0x00 DWORD callout ID(注册时分配)
+0x04 DWORD active 标志(非0 = 有效)
+0x08 8字节 未知/保留
+0x10 QWORD classifyFn 指针
+0x18 QWORD notifyFn 指针
+0x20 QWORD flowDeleteFn 指针(可为0)
+0x28~ 其他字段(flags、layer 信息等)

实际 dump 示例(一个有效 entry):

1
2
3
4
5
ffffbb08`8ddf1aa0  00000001`00000004   ; [+0x00]=id=4, [+0x04]=active=1
ffffbb08`8ddf1aa8  00000000`00000000   ; [+0x08] 保留
ffffbb08`8ddf1ab0  fffff801`8f522a70   ; [+0x10] classifyFn
ffffbb08`8ddf1ab8  fffff801`8f523150   ; [+0x18] notifyFn
ffffbb08`8ddf1ac0  fffff801`8f523140   ; [+0x20] flowDeleteFn

完整遍历命令

验证第一个 entry 的结构

先 dump 数组开头,确认对齐是否正确:

1
dqs 数组基址 L0x14

第一个全零的 entry 是空槽,找到第一个 +0x04 不为零的就是有效 entry。

遍历全部有效 callout

注意.for 初始化不能同时赋值两个寄存器,必须在循环外赋值。

1
2
3
4
5
6
7
8
r $t1=0
.for (; @$t1 < 0x400; r $t1=@$t1+1) {
    r $t2=0xffffbb088ddec000+@$t1*0x50;
    .if (by(@$t2+4) != 0) {
        .printf "\n==== callout %d (addr=%p) ====\n", @$t1, @$t2;
        dqs @$t2 L0xa
    }
}

说明:

  • 0x400 替换为你的实际 count 值
  • 0xffffbb088ddec000 替换为你的实际数组基址
  • by(@$t2+4) 读取 active 标志的低字节,非0表示有效

只打印函数指针(更简洁)

1
2
3
4
5
6
7
8
9
10
r $t1=0
.for (; @$t1 < 0x400; r $t1=@$t1+1) {
    r $t2=0xffffbb088ddec000+@$t1*0x50;
    .if (by(@$t2+4) != 0) {
        .printf "\n[%d] classify: ", @$t1;
        ln poi(@$t2+0x10);
        .printf "[%d] notify:   ", @$t1;
        ln poi(@$t2+0x18)
    }
}

脚本

https://github.com/V-i-x-x/kernel-callback-removal/blob/main/NetworkKernelBypass/Readme.md

直接看大佬的代码即可,我们只需要改动一些必要的偏移,我自己测试的话,改动了如下即可。

count 偏移 +0x190 = 0x400(1024槽)
数组基址偏移 +0x198 = ffffbb08'8ddec000

164044c7b29b3ceec540e804dff11a66

ce741635a78e272c53703ac8012bf928

2026-05-01 该篇文章被 CHANGMEN 打上标签: 内核

上一篇:WFP_Callout_深度研究 下一篇:内核驱动MiniFilter Callback
© 2024 CHANGMEN | Network Security Enthusiast
🌊看过大海的人不会忘记海的广阔🌊 本站由Hexo驱动|使用Hexo-theme-A4主题