基于SPI的数据报过滤原理与实现

核心提示：//获得已安装自定义IP分层协议的由Ws2_32.dll分配的唯一标志nextlayerid=lpprotoinfo->ProtocolChain.ChainEntries[i+1];//获得下一层传输服务提供者的标志信息WSCGetProviderPath(&protoinfo[i].ProviderId,fi

//获得已安装自定义IP分层协议的由Ws2_32.dll分配的唯一标志

nextlayerid=lpprotoinfo->ProtocolChain.ChainEntries[i+1];

//获得下一层传输服务提供者的标志信息

WSCGetProviderPath(&protoinfo[i].ProviderId,filterpath,&filterpathlen,&errorcode)；

//获得下一层传输服务提供者的安装路径

ExpandEnvironmentStrings(filterpath,filterpath,MAX_PATH)；

//扩展环境变量

hfilter=LoadLibrary(filterpath))；

//装载下一层传输服务提供者

wspstartupfunc=(LPWSPSTARTUP)GetProcAddress(hfilter,"WSPStartup"))；

//获得下一层传输服务提供者的入口函数WSPStartup,以便调用

wspstartupfunc(wversionrequested,lpwspdata,lpprotoinfo,upcalltable,lpproctable)；

//调用下一层传输服务提供者的WSPStartup函数，实现钩子功能

nextproctable=*lpproctable;

//保存下一层服务提供者的30个服务函数指针

lpproctable->lpWSPSendTo=WSPSendTo;

//调用自定义函数WSPSendTo

由于以动态链接库形式的服务提供者要向外提供一个入口函数，因此还须一个配置文件ipfilter.def:

EXPORTS　　WSPStartup

//向外提供入口函数WSPStartup

3.T-Sporder.exe

T-Sporder.exe是一个辅助工具，用来查看当前系统中所有已经安装的传输服务提供者的属性。

totalprotocols=WSCEnumProtocols(NULL,protoinfo,&protoinfosize,&errorcode)；

//获得系统中的所有传输服务提供者，然后根据参数输出它们的各项属性。

四、小结与后记

本文向大家介绍了Windows Socket 2的一个新特性，那就是服务提供者接口SPI(Service Provider Interface)。它不仅包括我们主要讲解的传输服务提供者接口，还包括名字空间服务提供者接口。当然，基于SPI的包过滤安全措施并不是特别的好，因为很多建立在TDI上面的数据传输并不会受到SPI的影响，所以当前流行的防火墙大都是建立在NDIS之上的。

传输服务提供者是以DLL的形式存在于系统之中的，在基于IP协议的网络程序运行时，如果参数相匹配就会加载我们的传输服务提供者程序。而且在Windows下有很多系统网络服务，它们都是在系统启动时自动加载的，这就为我们隐藏木马的进程提供了有利的条件。也就是说在传输服务提供者程序里嵌入木马程序，很多基于IP协议的网络系统程序在开机时运行，这样我们嵌入的木马程序就会在系统启动时自动加载，在系统关闭时才会卸载。它的特点是只要安装一次后每每系统启动就会加载我们的传输服务提供者（里面包含木马程序），而不必像远程注入线程那样在系统每次启动时执行安装程序，并且它可同时被多个系统网络程序加载。

已编译好的可执行文件(过滤QQ数据报)，您可以在我们的网站(http://fz5fz.yeah.net)下载。