基于SPI的數據報過濾原理與實現
作者：TOo2y
[摘自] VC 知識庫 （http://www.vckbase.com/）

一. 個人防火墻技術概述
二. Winsock 2 SPI介紹
三. 相關程序代碼分析
四. 小結與后記
五. 附錄之源代碼

一、個人防火墻技術概述

    隨著網絡安全問題日益嚴重，廣大用戶對網絡安全產品也越來越關注。防火墻作為一種網絡安全工具，早已受到大家的青睞。在PC機上使用的個人防火墻，很大程度上成為廣大網民的安全保護者。Windows下的個人防火墻都是基于對數據報的攔截技術之上。當然在具體的實現方式上它們卻有很大的不同。總的來說可分為用戶級和內核級數據報攔截兩類。其中內核級主要是TDI過濾驅動程序，NDIS中間層過濾驅動程序，NDIS過濾鉤子驅動程序等，它們都是利用網絡驅動來實現的；而用戶級的過濾包括SPI接口，Windows2000包過濾接口等。本文主要講述基于SPI的包過濾實現，它是Winsock 2的一個新特性。

二、Winsock 2 SPI介紹

    Winsock 2 是一個接口，而不是協議，所以它可以用于發現和使用任意數量的底層傳輸協議所提供的通信能力。起初的Winsock是圍繞著TCP/IP協議運行的，但是在Winsock 2中卻增加了對更多傳輸協議的支持。Winsock 2不僅提供了一個供應用程序訪問網絡服務的Windows socket應用程序編程接口（API），還包含了由傳輸服務提供者和名字解析服務提供者實現的Winsock服務提供者接口（SPI）和ws2_32.dll。本文僅討論傳輸服務提供者及其應用，暫不對名字解析服務提供者進行分析。
    Winsock 2的傳輸服務提供者是以動態鏈接庫的形式（DLL）存在的，它是通過WSPStartup函數為上層函數提供接口，而其他的傳輸服務提供者函數則是通過分配表的方式來訪問WS2_32.DLL。傳輸服務提供者的動態鏈接庫只有在應用程序需要時才由Ws2_32.dll來裝入內存中的，在不需要時則會被自動卸載。以下是winsock 2在傳輸服務提供者上的WOSA（Windows開放服務結構）:

----------------------------
│Windows socket 2 應用程序│
----------------------------Windows socket 2 API
│       WS2_32.DLL        │
----------------------------Windows socket 2 傳輸SPI
│   傳輸服務提供者（DLL）  │  
----------------------------

    Windows socket SPI在服務提供者中使用了以下的函數前綴命名方式：WSP（Windows socket服務提供者），WPU（Windows socket提供者向上調用），WSC（Windows socket配置）。每一個傳輸服務提供者都有它自己所支持的傳輸協議，它是使用WSAPROTCOL_INFOW結構來實現的。傳輸服務提供者把所有的相關信息都存放在這個結構中，而應用程序就是通過這個結構的內容來將自己和相應的傳輸服務提供者相關聯。
    Windows socket SPI提供三種協議：分層協議，基礎協議和協議鏈。分層協議是在基礎協議的上層，依靠底層基礎協議實現更高級的通信服務。基礎協議是能夠獨立，安全地和遠程端點實現數據通信的協議，它是相對與分層協議而言的。協議鏈是將一系列的基礎協議和分層協議按特點的順序連接在一起的鏈狀結構，請參見下圖：

API------------------------
   │      WS2_32.DLL     │
SPI------------------------
   │ 分層協議 │
SPI-------------
   │ 分層協議 │
SPI------------------------
   │       基礎協議       │
   ------------------------

    Ws2_32.dll數據傳輸部分的主要功能是在服務提供者和應用程序之間提供流量管理的功能。每個應用程序通過Ws2_32.dll和相應的服務提供者進行嚴格的數據交換。Ws2_32.dll根據應用程序在創建套接字時所提供的參數來選擇特定的服務提供者，然后把應用程序的實現過程轉發由所選創建套接字的服務提供者來管理。也就是說，Ws2_32.dll只是一個中間過程，而應用程序只是一個接口，數據通信的實現卻是有服務提供者來完成的。我們說過，Ws2_32.dll是通過創建套接字的API函數WSASocket或socket的參數來確定使用哪一個服務提供者。而WSASocket/socket的參數中包括了地址族，套接字類型和協議類型，這三個因素共同決定了創建套接字的服務提供者。Ws2_32.dll在服務提供者中尋找第一個和前面三因素相匹配的WSAPROTOCOL_INFOW結構，然后就調用這個WSAPROTOCOL_INFOW結構相應的WSPStartup函數，（所有的數據傳輸服務提供者以DLL的形式，它們對外的接口就只有WSPStartup，其他的服務提供者函數都是通過WSPStartup來調用的），進而調用如WSPSocket的函數來創建套接字，WSPConnect的函數來建立連接等等。除了流量管理功能外，Ws2_32.dll還提供了其他的服務，比如協議枚舉，基于線程的阻塞鉤子管理和在Ws2_32.dll和服務提供者之間進行版本協商。

    傳輸服務提供者實現的功能包括建立連接，傳輸數據，實現流控制和差錯控制等函數。其實Ws2_32.dll并不知道服務提供者的請求等活動是如何實現了，Ws2_32.dll在應用程序和服務提供者之間實現了媒介的功能。傳輸服務提供者可分為兩類：套接字描述符是可安裝的文件系統（IFS）句柄的提供者；剩下的是非IFS的提供者。在我們的程序中選用了非IFS提供者。可見，服務提供者實現了底層的與網絡相關的協議。Ws2_32.dll提供了介質級別的流量管理，應用程序則提供了有關如何實現網絡相關的操作，它實現了用戶所希望的功能。

    在傳輸服務提供者的實現過程中，安裝順序是非常重要的。我們不僅要正確的安裝服務提供者，而且還必須在Windows socket中注冊，將相關的系統信息保存在數據庫中，這樣Ws2_32.dll才能夠方便的獲得下層服務提供者的相關信息。在Ws2_32.dll中提供了用來安裝服務提供者的函數WSCInstallProvider，它需要服務提供者的有關數據，比如DLL的名稱和路徑。同時Ws2_32.dll還提供了卸載服務提供者的函數WSCDeinstallProvider，在不需要時通過它將特定的服務提供者從系統中刪除。為什么說傳輸服務者的安裝順序很重要呢？在服務提供者配置函數中的WSCEnumProtocols是用來枚舉系統中所有已安裝的服務提供者，它按照服務提供者的安裝順序相應的列出他們。在前面我們也提到過，Ws2_32.dll在服務提供者中按安裝順序搜尋和WSASocket/socket提供的三個參數相匹配的服務提供者，所以安裝順序在一定程度上是決定了服務提供者是否被正確調用的關鍵。Windows socket 2還提供了一個動態鏈接庫Sporder.dll，它提供了對已安裝的所有服務提供者順序的重新排列（此DLL系統沒有自帶，common目錄中已提供）。在附錄中的T-Sporder.exe是一個查詢當前已安裝所有數據傳輸服務提供者屬性的工具。
  
  服務提供者系統中區分基礎協議，分層協議和協議鏈是通過結構WSAPROTOCOL_INFOW中的Protocolchain結構的ChainLen值來實現的。分層協議的ChainLen值為0，基礎協議的值為1，而協議鏈的值是大于1。在數據傳輸服務提供者的實現方式中分層協議和基礎協議幾乎是相同的，它們的不同之處在安裝上。Windows中，現有的系統服務提供者（系統自帶）幾乎已提供了所有基本的服務，因此我們所寫的服務提供者程序，都可以對數據報進行適當“修飾”后調用系統服務提供者來完成絕大部分剩下的功能，無論是基礎服務提供者還是分層服務提供者都可以使用這種技術，免去不必要的勞動。基礎服務提供者的實現過程主要是替換當前系統服務提供者的安裝路徑為自己的服務提供者的安裝路徑即可，當然我們必須保存所以系統服務者的相關數據，在我們卸載自己的服務提供者還原系統服務提供者時要用到這些信息，如系統服務者DLL的名稱和路徑。而協議鏈就不同了，首先我們必須安裝好所有的基礎協議和分層協議后，再構造協議鏈的WSAPROTOCOL_INFOW結構鏈，組成協議鏈的每個協議都會在協議鏈的ProtocolChain.ChainEntries數組中被定義，協議鏈數組中的第一個協議應該是第一個分層服務提供者。當然在安裝分層協議及協議鏈時我們不會改變系統服務提供者，最多只是改變系統服務提供者的安裝順序罷了。在此，我們以分層服務提供者為例來說明數據傳輸服務提供者的安裝過程。
 
   Ws2_32.dll是使用標準的動態鏈接庫來加載服務提供者接口的DLL到系統中去的，并調用WSPStartup來初始化。WSPStartup是Windows Socket 2應用程序調用SPI程序的初始化函數，也就是入口函數。WSPStartup的參數LPWSAPROTOCOL_INFOW指針提供應用程序所期望的協議信息，然后通過這個結構指針我們可以獲得所保存的系統服務提供者的DLL名稱和路徑，加載系統服務提供者后查找到系統SPI程序的WSPStartup函數的指針，通過這個指針我們就可以將自己服務提供者的WSPStartup函數和系統SPI程序的WSPStartup函數相關聯，進而調用系統的各個服務提供者函數。在數據傳輸服務提供者的實現中，我們需要兩個程序，一個是可執行文件用來安裝傳輸服務提供者；另一個就是DLL形式的數據傳輸服務提供者。下面我們就對安裝程序(instif.exe)和實現程序(ipfilter.dll)所使用的主要函數進行簡要分析。

三、相關程序代碼分析

1.instif.exe

    可執行程序instif.exe的主要功能是安裝我們自己的分層傳輸服務提供者，并重新排列所有傳輸服務提供者的順序，使我們的服務提供者位于協議鏈的頂端，這樣相應類型的應用程序就會首先進入我們的傳輸服務提供者接口。本程序只有一個參數，就是安裝(-install)或卸載(-remove)。作為演示，本程序只安裝了IP分層協議及與UDP相關的協議鏈。（在ipfilter.dll中，我們只過濾目標端口為8000的UDP數據報）
    自定義函數：
    BOOL  getfilter();     //獲得所有已經安裝的傳輸服務提供者
    void  freefilter();    //釋放存儲空間
    void  installfilter(); //安裝分層協議，協議鏈及排序
    void  removefilter();  //卸載分層協議和協議鏈

    代碼分析：
    protoinfo=(LPWSAPROTOCOL_INFOW)GlobalAlloc(GPTR,protoinfosize)；
    //分配WSAPROTOCOL_INFOW結構的存儲空間
    totalprotos=WSCEnumProtocols(NULL,protoinfo,&protoinfosize,&errorcode)；
    //獲得系統中已安裝的所有服務提供者
    GetCurrentDirectory(MAX_PATH,filter_path)；  
    //得到當前的路徑
    _tcscpy(filter_name,_T("\\ipfilter.dll"));  
    //構造服務提供者文件ipfilter.dll的路徑全名
    WSCInstallProvider(&filterguid,filter_path,&iplayerinfo,1,&errorcode)；
    //安裝自定義的IP分層協議
    iplayercataid=protoinfo[i].dwCatalogEntryId;
    //獲得已安裝自定義IP分層協議的由Ws2_32.dll分配的唯一標志
    udpchaininfo.ProtocolChain.ChainEntries[0]=iplayercataid;
    //將自定義的IP分層協議作為自定義UDP協議鏈的根分層服務提供者安裝在協議鏈的頂端
    WSCInstallProvider(&filterchainguid,filter_path,chainarray,provcnt,&errorcode)；
    //安裝協議鏈
    WSCWriteProviderOrder(cataentries,totalprotos)；
    //更新所有服務提供者的安裝順序，把自定義的服務提供者排在所有協議的最前列
    WSCDeinstallProvider(&filterguid,&errorcode)；
    //卸載IP分層協議
    WSCDeinstallProvider(&filterchainguid,&errorcode)；
    //卸載協議鏈

  2.ipfilter.dll

    傳輸服務提供者都是以動態鏈接庫的形式存在的，在應用程序需要時由Ws2_32.dll加載，在用完之后就被卸載。本文的ipfilter.dll提供了對發送的UDP數據報進行過濾的功能。也就是自定義WSPSendTo函數，在調用系統服務提供者之前進行過濾，判斷是否繼續向下調用，而其他的函數都是直接調用下層的系統服務提供者由它們直接處理。傳輸服務提供者只有一個入口函數就是WSPStartup，它是Windows Socket 應用程序調用SPI的初始化函數，其他SPI函數的調用都是通過WSPStartup的參數WSPUPCALLTABLE來實現的。
    自定義函數：
    int  WSPAPI WSPSendTo(SOCKET s,LPWSABUF lpbuffer,DWORD dwbuffercount,LPDWORD lpnumberofbytessent,
  DWORD dwflags,const struct sockaddr FAR *lpto,int itolen,LPWSAOVERLAPPED lpoverlapped,
  LPWSAOVERLAPPED_COMPLETION_ROUTINE  lpcompletionroutine,LPWSATHREADID lpthreadid,LPINT lperrno);
    //SPI函數WSPSendTo和Windows Socket 2的API函數WSASendTo相對應
    int  WSPAPI WSPStartup(WORD wversionrequested,LPWSPDATA lpwspdata,LPWSAPROTOCOL_INFOW lpprotoinfo,
         WSPUPCALLTABLE upcalltable,LPWSPPROC_TABLE lpproctable);
    //SPI函數WSPStartup和Windows Socket 2的API函數WSAStartup相對應,WSPStartup是唯一的入口函數，剩下的30個SPI函數則是通過參數upcalltable來實現的，它們只能在內部調用，不向外提供入口
    
    代碼分析：
    GetModuleFileName(NULL,processname,MAX_PATH);
    //獲得調用本服務提供者動態鏈接庫的可執行文件的全名
    OutputDebugString(_T("WSPSendTo Tencent Filtered"));
    //輸出調試信息
    nextproctable.lpWSPSendTo(s,lpbuffer,dwbuffercount,lpnumberofbytessent,dwflags,lpto,
                              itolen,lpoverlapped,lpcompletionroutine,lpthreadid,lperrno);
    //如果數據報滿足發送條件，調用下層系統服務提供者發送數據
    layerid=protoinfo[i].dwCatalogEntryId;
    //獲得已安裝自定義IP分層協議的由Ws2_32.dll分配的唯一標志
    nextlayerid=lpprotoinfo->ProtocolChain.ChainEntries[i+1];
    //獲得下一層傳輸服務提供者的標志信息
    WSCGetProviderPath(&protoinfo[i].ProviderId,filterpath,&filterpathlen,&errorcode)；
    //獲得下一層傳輸服務提供者的安裝路徑
    ExpandEnvironmentStrings(filterpath,filterpath,MAX_PATH)；
    //擴展環境變量
    hfilter=LoadLibrary(filterpath))；
    //裝載下一層傳輸服務提供者
    wspstartupfunc=(LPWSPSTARTUP)GetProcAddress(hfilter,"WSPStartup"))；
    //獲得下一層傳輸服務提供者的入口函數WSPStartup,以便調用
    wspstartupfunc(wversionrequested,lpwspdata,lpprotoinfo,upcalltable,lpproctable)；
    //調用下一層傳輸服務提供者的WSPStartup函數，實現鉤子功能
    nextproctable=*lpproctable;
    //保存下一層服務提供者的30個服務函數指針
    lpproctable->lpWSPSendTo=WSPSendTo;
    //調用自定義函數WSPSendTo

    由于以動態鏈接庫形式的服務提供者要向外提供一個入口函數，因此還須一個配置文件ipfilter.def:
    EXPORTS    WSPStartup
    //向外提供入口函數WSPStartup
  
    3.T-Sporder.exe
    T-Sporder.exe是一個輔助工具，用來查看當前系統中所有已經安裝的傳輸服務提供者的屬性。
    totalprotocols=WSCEnumProtocols(NULL,protoinfo,&protoinfosize,&errorcode)；
    //獲得系統中的所有傳輸服務提供者，然后根據參數輸出它們的各項屬性。

四、小結與后記

    本文向大家介紹了Windows Socket 2的一個新特性，那就是服務提供者接口SPI(Service Provider Interface)。它不僅包括我們主要講解的傳輸服務提供者接口，還包括名字空間服務提供者接口。當然，基于SPI的包過濾安全措施并不是特別的好，因為很多建立在TDI上面的數據傳輸并不會受到SPI的影響，所以當前流行的防火墻大都是建立在NDIS之上的。
    傳輸服務提供者是以DLL的形式存在于系統之中的，在基于IP協議的網絡程序運行時，如果參數相匹配就會加載我們的傳輸服務提供者程序。而且在Windows下有很多系統網絡服務，它們都是在系統啟動時自動加載的，這就為我們隱藏木馬的進程提供了有利的條件。也就是說在傳輸服務提供者程序里嵌入木馬程序，很多基于IP協議的網絡系統程序在開機時運行，這樣我們嵌入的木馬程序就會在系統啟動時自動加載，在系統關閉時才會卸載。它的特點是只要安裝一次后每每系統啟動就會加載我們的傳輸服務提供者（里面包含木馬程序），而不必像遠程注入線程那樣在系統每次啟動時執行安裝程序，并且它可同時被多個系統網絡程序加載。
    已編譯好的可執行文件(過濾QQ數據報)，您可以在我們的網站(http://fz5fz.yeah.net)下載。

五、附錄之源程序
 1.instif.exe

  1#define  UNICODE     
  2#define  _UNICODE         
  3
  4#include <stdio.h>
  5#include <tchar.h>
  6#include <string.h>
  7#include <ws2spi.h>
  8#include <sporder.h>
  9                           
 10GUID  filterguid={0x4d1e91fd,0x116a,0x44aa,{0x8f,0xd4,0x1d,0x2c,0xf2,0x7b,0xd9,0xa9}};
 11
 12GUID  filterchainguid={0xd3c21121,0x85e1,0x48f3,{0x9a,0xb6,0x23,0xd9,0x0c,0x73,0x07,0xef}};
 13
 14BOOL  getfilter();
 15void  freefilter();
 16void  installfilter();
 17void  removefilter();
 18void  start();
 19void  usage();
 20
 21int                   totalprotos=0;
 22DWORD                 protoinfosize=0;
 23LPWSAPROTOCOL_INFOW   protoinfo=NULL;
 24
 25int main(int argc,char *argv[])           
 26{
 27    start();
 28
 29    if(argc==2)
 30    {
 31        if(strcmp(argv[1],"-install")==0)   
 32        {
 33            installfilter();
 34            return 0;
 35        }
 36        else if(strcmp(argv[1],"-remove")==0)  
 37        {
 38            removefilter();
 39            return 0;
 40        }
 41    }
 42    usage();
 43    return 0;
 44}
 45
 46BOOL getfilter()
 47{
 48    int  errorcode;
 49
 50    protoinfo=NULL;
 51    totalprotos=0;
 52    protoinfosize=0;
 53
 54    if(WSCEnumProtocols(NULL,protoinfo,&protoinfosize,&errorcode)==SOCKET_ERROR)
 55    {
 56        if(errorcode!=WSAENOBUFS)
 57        {
 58            _tprintf(_T("First WSCEnumProtocols Error: %d\n"),errorcode);
 59            return FALSE;
 60        }
 61    }
 62
 63    if((protoinfo=(LPWSAPROTOCOL_INFOW)GlobalAlloc(GPTR,protoinfosize))==NULL)
 64    {
 65        _tprintf(_T("GlobalAlloc in getfilter Error: %d\n"),GetLastError());
 66        return FALSE;
 67    }
 68
 69    if((totalprotos=WSCEnumProtocols(NULL,protoinfo,&protoinfosize,&errorcode))==SOCKET_ERROR)
 70    {
 71        _tprintf(_T("Second WSCEnumProtocols Error: %d\n"),GetLastError());
 72        return FALSE;
 73    }
 74
 75    _tprintf(_T("Found %d protocols!\n"),totalprotos); 
 76    return TRUE;
 77}
 78
 79void freefilter()
 80{
 81    GlobalFree(protoinfo);
 82}
 83
 84void installfilter()
 85{
 86    int                i;
 87    int                provcnt;
 88    int                cataindex;
 89    int                errorcode;
 90    BOOL               rawip=FALSE;
 91    BOOL               udpip=FALSE;
 92    DWORD              iplayercataid=0,udporigcataid=0;
 93    TCHAR              filter_path[MAX_PATH];            
 94    TCHAR              filter_name[MAX_PATH];
 95    TCHAR              chainname[WSAPROTOCOL_LEN+1];      
 96    LPDWORD            cataentries;
 97    WSAPROTOCOL_INFOW  iplayerinfo,udpchaininfo,chainarray[1];
 98
 99    getfilter();
100    
101    for(i=0;i<totalprotos;i++)
102    {
103        if(!rawip
104        && protoinfo[i].iAddressFamily==AF_INET
105        && protoinfo[i].iProtocol==IPPROTO_IP)
106        {
107            rawip=TRUE;
108            memcpy(&iplayerinfo,&protoinfo[i],sizeof(WSAPROTOCOL_INFOW));
109            iplayerinfo.dwServiceFlags1=protoinfo[i].dwServiceFlags1 & (~XP1_IFS_HANDLES);
110        }
111
112        if(!udpip
113        && protoinfo[i].iAddressFamily==AF_INET
114        && protoinfo[i].iProtocol==IPPROTO_UDP)
115        {
116            udpip=TRUE;
117            udporigcataid=protoinfo[i].dwCatalogEntryId;
118            memcpy(&udpchaininfo,&protoinfo[i],sizeof(WSAPROTOCOL_INFOW));
119            udpchaininfo.dwServiceFlags1=protoinfo[i].dwServiceFlags1 & (~XP1_IFS_HANDLES);
120        }
121    }
122
123    _tcscpy(iplayerinfo.szProtocol,_T("T-IpFilter"));
124    iplayerinfo.ProtocolChain.ChainLen=LAYERED_PROTOCOL;
125
126    if(GetCurrentDirectory(MAX_PATH,filter_path)==0)
127    {
128        _tprintf(_T("GetCurrentDirectory Error: %d\n"),GetLastError());
129        return ;
130    }
131    _tcscpy(filter_name,_T("\\ipfilter.dll"));  
132    _tcscat(filter_path,filter_name);
133
134    if(WSCInstallProvider(&filterguid,filter_path,&iplayerinfo,1,&errorcode)==SOCKET_ERROR)
135    {
136        _tprintf(_T("WSCInstallProvider Error: %d\n"),errorcode);
137        return ;
138    }
139
140    freefilter();
141
142    getfilter();
143
144    for(i=0;i<totalprotos;i++)
145    {
146        if(memcmp(&protoinfo[i].ProviderId,&filterguid,sizeof(GUID))==0)
147        {
148            iplayercataid=protoinfo[i].dwCatalogEntryId;
149            break;
150        }
151    }
152
153    provcnt=0;
154    if(udpip)
155    {
156        _tcscpy(chainname,_T("T-UdpFilter"));
157        _tcscpy(udpchaininfo.szProtocol,chainname);
158
159        if(udpchaininfo.ProtocolChain.ChainLen==BASE_PROTOCOL)
160        {
161            udpchaininfo.ProtocolChain.ChainEntries[1]=udporigcataid;
162        }
163        else
164        {
165            for(i=udpchaininfo.ProtocolChain.ChainLen;i>0;i--)
166            {
167                udpchaininfo.ProtocolChain.ChainEntries[i+1]=udpchaininfo.ProtocolChain.ChainEntries[i];
168            }
169        }
170
171        udpchaininfo.ProtocolChain.ChainLen++;
172        udpchaininfo.ProtocolChain.ChainEntries[0]=iplayercataid;
173
174        memcpy(&chainarray[provcnt++],&udpchaininfo,sizeof(WSAPROTOCOL_INFOW));
175    }
176
177    if(WSCInstallProvider(&filterchainguid,filter_path,chainarray,provcnt,&errorcode)==SOCKET_ERROR)
178    {
179        _tprintf(_T("WSCInstallProvider for chain Error: %d\n"),errorcode);
180        return ;
181    }
182
183    freefilter();
184
185    getfilter();
186
187    if((cataentries=(LPDWORD)GlobalAlloc(GPTR,totalprotos*sizeof(WSAPROTOCOL_INFOW)))==NULL)
188    {
189        _tprintf(_T("GlobalAlloc int installfilter Error: %d\n"),errorcode);
190        return ;
191    }
192
193    cataindex=0;
194    for(i=0;i<totalprotos;i++)
195    {
196        if(memcmp(&protoinfo[i].ProviderId,&filterguid,sizeof(GUID))==0 
197        || memcmp(&protoinfo[i].ProviderId,&filterchainguid,sizeof(GUID))==0)
198        {
199        cataentries[cataindex++]=protoinfo[i].dwCatalogEntryId;
200        }
201    }
202
203    for(i=0;i<totalprotos;i++)
204    {
205        if(memcmp(&protoinfo[i].ProviderId,&filterguid,sizeof(GUID))!=0 
206        && memcmp(&protoinfo[i].ProviderId,&filterchainguid,sizeof(GUID))!=0)
207        {
208            cataentries[cataindex++]=protoinfo[i].dwCatalogEntryId;
209        }
210    }
211
212    if((errorcode==WSCWriteProviderOrder(cataentries,totalprotos))!=ERROR_SUCCESS)
213    {
214        _tprintf(_T("WSCWriteProviderOrder Error: %d\n"),GetLastError());
215        return ;
216    }
217
218    freefilter();
219
220    _tprintf(_T("\nInstall IP Filter Successfully"));
221    return ;
222}
223
224void removefilter()
225{
226    int  errorcode;
227    BOOL signal=TRUE;
228
229    if(WSCDeinstallProvider(&filterguid,&errorcode)==SOCKET_ERROR)
230    {
231        _tprintf(_T("WSCDeinstall filterguid Error: %d\n"),errorcode);
232        signal=FALSE;
233    }
234
235    if(WSCDeinstallProvider(&filterchainguid,&errorcode)==SOCKET_ERROR)
236    {
237        _tprintf(_T("WSCDeinstall filterchainguid Error: %d\n"),errorcode);
238        signal=FALSE;
239    }
240
241    if(signal)
242    {
243        _tprintf(_T("Deinstall IP Filter Successfully"));
244    }
245    return ;
246}
247
248void  start()
249{
250    _tprintf(_T("Install IP Filter, by TOo2y\n"));
251    _tprintf(_T("E-Mail: TOo2y@safechina.net\n"));
252    _tprintf(_T("HomePage: www.safechina.net\n"));
253    _tprintf(_T("Date: 10-29-2002\n\n"));
254    return ;
255}
256
257void  usage()
258{
259    _tprintf(_T("Usage:  instif  [ -install │ -remove ]\n"));
260    return ;
261}
262

2.ipfilter.dll

  1#define  UNICODE
  2#define  _UNICODE
  3
  4#include <ws2spi.h>
  5#include <tchar.h>
  6
  7GUID  filterguid={0x4d1e91fd,0x116a,0x44aa,{0x8f,0xd4,0x1d,0x2c,0xf2,0x7b,0xd9,0xa9}};
  8
  9LPWSAPROTOCOL_INFOW  protoinfo=NULL;
 10WSPPROC_TABLE        nextproctable;
 11DWORD                protoinfosize=0;
 12int                  totalprotos=0;
 13
 14BOOL getfilter()
 15{
 16    int    errorcode;
 17
 18    protoinfo=NULL;
 19    protoinfosize=0;
 20    totalprotos=0;
 21
 22    if(WSCEnumProtocols(NULL,protoinfo,&protoinfosize,&errorcode)==SOCKET_ERROR)
 23    {
 24        if(errorcode!=WSAENOBUFS)
 25        {
 26            OutputDebugString(_T("First WSCEnumProtocols Error!")); 
 27            return FALSE;
 28        }
 29    }
 30
 31    if((protoinfo=(LPWSAPROTOCOL_INFOW)GlobalAlloc(GPTR,protoinfosize))==NULL)
 32    {
 33        OutputDebugString(_T("GlobalAlloc Error!"));                
 34        return FALSE;
 35    }
 36
 37    if((totalprotos=WSCEnumProtocols(NULL,protoinfo,&protoinfosize,&errorcode))==SOCKET_ERROR)
 38    {
 39        OutputDebugString(_T("Second WSCEnumProtocols Error!"));   
 40        return FALSE;
 41    }
 42
 43    return TRUE;
 44}
 45
 46void freefilter()
 47{
 48    GlobalFree(protoinfo);
 49}
 50
 51BOOL WINAPI DllMain(HINSTANCE hmodule,
 52DWORD     reason,
 53LPVOID    lpreserved)
 54{
 55    TCHAR   processname[MAX_PATH];
 56    TCHAR   showmessage[MAX_PATH+25];
 57
 58
 59    if(reason==DLL_PROCESS_ATTACH)
 60    {
 61        GetModuleFileName(NULL,processname,MAX_PATH);
 62        _tcscpy(showmessage,processname);
 63        _tcscat(showmessage,_T(" Loading IPFilter "));
 64        OutputDebugString(showmessage);  
 65    }
 66    return TRUE;
 67}
 68
 69int WSPAPI WSPSendTo(SOCKET    s,
 70  LPWSABUF         lpbuffer,
 71  DWORD            dwbuffercount,
 72  LPDWORD          lpnumberofbytessent,
 73  DWORD            dwflags,
 74  const struct     sockaddr FAR *lpto,
 75  int              itolen,
 76  LPWSAOVERLAPPED  lpoverlapped,
 77  LPWSAOVERLAPPED_COMPLETION_ROUTINE  lpcompletionroutine,
 78  LPWSATHREADID    lpthreadid,
 79  LPINT            lperrno)
 80{
 81
 82    struct sockaddr_in sin;
 83
 84    sin=*(const struct sockaddr_in *)lpto;
 85    if(sin.sin_port==htons(8000))        
 86    {
 87        OutputDebugString(_T("WSPSendTo Tencent Filtered"));
 88        return 0;
 89    }
 90    else
 91    {
 92        return nextproctable.lpWSPSendTo(s,lpbuffer,dwbuffercount,
 93            lpnumberofbytessent,dwflags,lpto,itolen,
 94            lpoverlapped,lpcompletionroutine,lpthreadid,lperrno);
 95    }
 96}
 97
 98int WSPAPI WSPStartup(
 99WORDwversionrequested,
100LPWSPDATA         lpwspdata,
101LPWSAPROTOCOL_INFOWlpprotoinfo,
102WSPUPCALLTABLEupcalltable,
103LPWSPPROC_TABLElpproctable
104)
105{
106    OutputDebugString(_T("IPFilter WSPStartup "));
107
108    int           i;
109    int           errorcode; 
110    int           filterpathlen;
111    DWORD         layerid=0; 
112    DWORD         nextlayerid=0;
113    TCHAR         *filterpath;
114    HINSTANCE     hfilter;
115    LPWSPSTARTUP  wspstartupfunc=NULL;
116
117    if(lpprotoinfo->ProtocolChain.ChainLen<=1)
118    {
119        OutputDebugString(_T("ChainLen<=1"));  
120        return FALSE;
121    }
122
123    getfilter();
124
125    for(i=0;i<totalprotos;i++)
126    {
127        if(memcmp(&protoinfo[i].ProviderId,&filterguid,sizeof(GUID))==0)
128        {
129            layerid=protoinfo[i].dwCatalogEntryId;
130            break;
131        }
132    }
133
134    for(i=0;i<lpprotoinfo->ProtocolChain.ChainLen;i++)
135    {
136        if(lpprotoinfo->ProtocolChain.ChainEntries[i]==layerid)
137        {
138            nextlayerid=lpprotoinfo->ProtocolChain.ChainEntries[i+1];
139            break;
140        }
141    }
142
143    filterpathlen=MAX_PATH;
144    filterpath=(TCHAR*)GlobalAlloc(GPTR,filterpathlen);  
145    for(i=0;i<totalprotos;i++)
146    {
147        if(nextlayerid==protoinfo[i].dwCatalogEntryId)
148        {
149            if(WSCGetProviderPath(&protoinfo[i].ProviderId,filterpath,&filterpathlen,&errorcode)==SOCKET_ERROR)
150            {
151                OutputDebugString(_T("WSCGetProviderPath Error!"));  
152                return WSAEPROVIDERFAILEDINIT;
153            }
154            break;
155        }
156    }
157
158    if(!ExpandEnvironmentStrings(filterpath,filterpath,MAX_PATH))
159    {
160        OutputDebugString(_T("ExpandEnvironmentStrings Error!"));    
161        return WSAEPROVIDERFAILEDINIT;
162    }
163
164    if((hfilter=LoadLibrary(filterpath))==NULL)
165    {
166        OutputDebugString(_T("LoadLibrary Error!")); 
167        return WSAEPROVIDERFAILEDINIT;
168    }
169
170    if((wspstartupfunc=(LPWSPSTARTUP)GetProcAddress(hfilter,"WSPStartup"))==NULL)
171    {
172        OutputDebugString(_T("GetProcessAddress Error!"));  
173        return WSAEPROVIDERFAILEDINIT;
174    }
175
176    if((errorcode=wspstartupfunc(wversionrequested,lpwspdata,lpprotoinfo,upcalltable,lpproctable))!=ERROR_SUCCESS)
177    {
178        OutputDebugString(_T("wspstartupfunc Error!"));  
179        return errorcode;
180    }
181
182    nextproctable=*lpproctable;
183    lpproctable->lpWSPSendTo=WSPSendTo;
184
185    freefilter();
186    return 0;
187}

(全文完)