NDIS网络数据监控程序NDISMonitor（2）-----驱动与应用的中间层NdisHook

本工程是驱动vpcknt的一个封闭层而已，比较简单。

一、导出的API接口分析

1、Start

（1）加载驱动vpcknt.sys。

vpcknt.sys是从工程的资源文件中通过CreateDriverFileFromAppResources加载的。（所以启动NDIS时金山杀毒软件会警告）

得到驱动文件后调用StartVersionedDeviceDriver把驱动.sys加载。（加载过程中还通过驱动读取了版本）

（驱动加载方法通过服务的方式，与前面文章<<虚拟桌面：一个简单的桌面管理工具>>是一样的）

（2）初始化PINITIALIZE_HOOK_INPUT的两个变量pihiHookInput 、pihoHookOutput；

且通过调用驱动的IOCTL_VPCKNT_INITIALIZE_HOOK初始化pihoHookOutput数据和PNT_PROTOCOL_LIST指针（即协议列表）；

2、Stop

卸载驱动

3、Listen

OALIST_ITEM类型的数据指针作为入参数，驱动IO码为IOCTL_VPCKNT_SUBMIT_OALIST的调用，目的是提交OALIST数据。

4、WaitForPacket

这里先去判断上一个包状态中的bArePacketsRemaining标志，如果它为TRUE，表还有数据，那么直接去读；

否则调用WaitForMultipleObjects等待内核事件；

[cpp] view plaincopy

HANDLE vhHandles[] = { g_hKernelEvent, g_hExitFromThread };
DWORD dwWaitRes = g_hsPrevStats.bArePacketsRemaining ? WAIT_OBJECT_0 :
::WaitForMultipleObjects( 2, vhHandles, FALSE, INFINITE );

获得包和数据包的状态

[cpp] view plaincopy

DWORD dwBytesReturned = 0;
BOOL bIoctlRes = ::DeviceIoControl( g_hDevice, IOCTL_VPCKNT_GET_NEXT_PACKET,
NULL, 0,
g_pbStorage, MACRO_STORAGE_BUFFER_SIZE,
& dwBytesReturned, NULL );
if ( bIoctlRes != FALSE && dwBytesReturned != 0 )
{
// allocate the packet memory.
BYTE* pb = (BYTE*) ::malloc( dwBytesReturned );
if ( pb == NULL )
return FALSE;
else
::memcpy( pb, g_pbStorage, dwBytesReturned );
// return.
g_hsPrevStats = * (HOOK_STATS*) pb;
if ( psStats )
* psStats = * (HOOK_STATS*) pb;
* pppPacketPtr = (PNEXT_PACKET) ( pb + sizeof( HOOK_STATS ) );

二、总结：

1、原子操作

通过原子操作能保证在多线程时保证得调用完Start，才能使用Listen和Stop，起到的作用与关键代码类似。

（1）在Start开始时：

EHS_INITIALIZING为1；

EHS_NOT_INITIALIZED为0；

[plain] view plaincopy

LONG prev = ::InterlockedCompareExchange( & g_lHooked, EHS_INITIALIZING, EHS_NOT_INITIALIZED );
if ( prev != EHS_NOT_INITIALIZED )
return FALSE;

g_lHooked最开始为0，上面的代码后g_lHooked为 1 ；

（2）在Start结束时：

[cpp] view plaincopy

g_lHooked = EHS_FUNCTIONING;

EHS_FUNCTIONING为 2 ；

（3）在Stop里：

EHS_FUNCTIONING 为 2；

EHS_STOPPING 为 3 ；

[cpp] view plaincopy

LONG prev = ::InterlockedCompareExchange( & g_lHooked, EHS_STOPPING, EHS_FUNCTIONING );
if ( prev != EHS_FUNCTIONING )
return;

因为经过了Start 的结束后g_lHooked为 2 ；所以经过上面的代码后g_lHooked 为 3 ；

1、InterlockedCompareExchange

InterlockedCompareExchange属于Interlocked系列互锁函数之一，常用于多线程编程。

类似的还有下面的几个：

//增减

（1） LONG InterlockedIncrement(IN OUT LONG volatile *lpAddend);

　　lpAddend为长整型变量的地址，返回值为原始值。这个函数的主要作用是原子性自增(相当于++操作)。

（2） LONG InterlockedDecrement(IN OUT LONG volatile *lpAddend);

　　lpAddend为长整型变量的地址，返回值为原始值。这个函数的主要作用是原子性自减(相当于--操作)。

（3） LONG InterlockedExchangeAdd ( LPLONG Addend, LONG Increment );

　　Addend为长整型变量的地址，Increment为想要在Addend指向的长整型变量上增加的数值（可以是负数）。这个函数的主要作用是保证这个加操作为一个原子访问。

　　//交换

（4） LONG InterlockedExchange( LPLONG Target, LONG Value );

　　用第二个参数的值取代第一个参数指向的值。函数返回值为原始值。

（5） PVOID InterlockedExchangePointer( PVOID *Target, PVOID Value );

　　用第二个参数的值取代第一个参数指向的值。函数返回值为原始值。

//比较交换

（6） LONG InterlockedCompareExchange( LPLONG Destination, LONG Exchange, LONG Comperand );

　　如果第三个参数与第一个参数指向的值相同，那么用第二个参数取代第一个参数指向的值。函数返回值为原始值。

（7） PVOID InterlockedCompareExchangePointer ( PVOID *Destination, PVOID Exchange, PVOID Comperand );

　　如果第三个参数与第一个参数指向的值相同，那么用第二个参数取代第一个参数指向的值。函数返回值为原始值。