コンピュータークラブのスニファー/ FireWall /ペアレンタルコントロール/ SpyWare /クライアントを作成します。 LSPテクノロジー

コンピュータークラブのスニファー/ FireWall /ペアレンタルコントロール/ SpyWare /クライアントを作成します。 LSPテクノロジー

プロバイダー）。



最近、私の友人が、コンピュータへのアクセスを制御し、自動的に誰となぜを検討するプログラムである電子ルーム（ライブラリ）に必要な欲求を明らかにしました。

2012年の予算にお金がなかったため、友人が電話を切りました。 しかし、アクセス制御のアイデアはすでに発火しています。 私はそれをどうするか考え始めました。

とりわけ、1つの質問が私を悩ませました。 ユーザーがコンピューターをレンタルするためだけに支払い、インターネットを使用してコンピューターを借りる場合にHTTPトラフィックをブロックする方法は？

インターネットでLSPについての興味深い記事を見つけましたが、今度はいくつかの変更を加えた翻訳を紹介します。



誰にそれが面白いか私はキャットの下でお願いします。

LSPベースのHTTPスニファー（レイヤードサービスプロバイダー）

この記事では、WindowsでHTTPトラフィックを監視する簡単なスニファーを作成する方法について説明します。 このプログラムは、Microsoftが提供するオープンテクノロジーに基づいており、その名前はLSP（Layered Service Provider）です。

この技術は、さまざまなソフトウェアで使用されています。 これらは、主にアンチウイルス、ファイアウォール、およびトラフィックフィルタリングプログラムです。

このソフトウェアパッケージを作成するために、Microsoft Platform SDKのサンプル（Program Files \ Microsoft Platform SDK \ Samples \ NetDS \ WinSock \ LSP \）を使用し、HTTPトラフィックをフィルター処理して別のストレージに結果を収集する機能を追加しました。



コンセプト

基本スキーム

始める

結論とヒント

便利なリンク。

コンセプト。

LSPの主なアイデアは、既存のプロバイダーのチェーンに含まれるプロバイダーを作成することです。 何かがWindowsのフックの原理を思い起こさせます。







プロバイダーのインストール中に、プロバイダーのチェーン内の場所を指定できます。 そして、新しい設定に従ってチェーンが再構築されます。 この場合、プロバイダーは[TCP / IP]プロバイダーの上にインストールされます。 実際のマシンにインストールするときは注意してください。 インストールに失敗すると、ネットワーク、インターネット、一部のネットワークアプリケーションの損失など、多くの問題が追加されます。

問題のデバッグとLSPプロバイダーの作成を回避するには、仮想マシンでテストします。

LSPプロバイダーでは、すべてのwinsockライブラリメソッドを置き換える必要があります。 実際、Platform SDKの例では、置換ロジックがすでに含まれており、インターセプト、URLブロック、またはHTTPトラフィックの保存のロジックを追加するためにのみ残ります。

LSPは、法的プログラムとSpyWare / AdWareの両方を使用します。

例：

法的プログラム：

• Sygateファイアウォール
• Mcafeeパーソナルファイアウォール
• E-safe
• Dr.Web Security Space 6は、ペアレンタルコントロールモジュールとしてLSPを使用します。

アドウェア：

• Webhancer
• New.net
• ニュードットネット

動作中のLSP。

基本スキーム

これは、ソフトウェアパッケージの基本的なスキームです。







ソフトウェアパッケージのインストール後、多くのプログラムがプロバイダーを使用します（一般的に、プロバイダーはWinsockライブラリを使用するすべてのアプリケーションにロードされる単純なDLLファイルです）。 ただし、必要なのはHTTPトラフィックのみです。 以下は、監視対象のハードバウンドポートを備えた（私たちのプロバイダーの）コード行です（HTTPプロトコルはデフォルトでポート80を使用します）。

if((namelen >= sizeof(sockaddr_in)) && (((sockaddr_in*)name)->sin_port == htons(HTTPPort))) { SocketContext->intercept = TRUE; }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

このツールを改善し、例のようにハード定義された定数ではなく、プログラムロジックをよりエレガントにして設定を保存できます。

さらに、HTTP要求を定義する必要があります。 HTTP GETリクエストは、文字列「GET」との単純な比較によって決定されます。 POSTリクエストの定義も同じ方法で行えます。

また、フィルターされたすべての情報を収集するサービスもあります。サービスはデータ破損を防ぐために作成されたもので、1つではなく複数のアプリケーションを監視する場合に発生する可能性があります。 ブラウザから傍受されたすべての情報は、このサービスに送信されます。 このサービスはSocketサーバー（ポート4004でリスニング）であるため、データ収集の同期に問題はありません。 この場合、データウェアハウスは単なるテキストファイルですが、より便利で安定したオプションに簡単に置き換えることができます（たとえば、DBMSを使用）。

始める

テストパッケージには、次のプロジェクトが含まれています。

1.LSPプロジェクト（LSPフォルダー）



このプロジェクトには、基本的なWinsockメソッドのオーバーロードが含まれています。 この場所で変更を追加する必要があります。 私の場合、このプロジェクトにはPlatform SDKのサンプルが含まれており、80番目のポートへの接続を決定するロジックを追加し、Connectメソッドでインターセプトされているとマークしました。

 if((namelen >= sizeof(sockaddr_in)) && (((sockaddr_in*)name)->sin_port == htons(HTTPPort))) { SocketContext->intercept = TRUE; }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

したがって、Sendメソッドの今後の呼び出しでは、このソケットがHTTPプロトコルによって使用されることがわかります。 また、Connectメソッドでトラフィック収集サービスへの接続を確立しました。 SENDメソッドでは、HTTP要求を検出し、それらをサービスにリダイレクトするロジックを実装しました。

 if (IsHTTPRequest(lpBuffers->buf) && SocketContext->intercept) { SetBlockingProvider(SocketContext->Provider); ret = SocketContext->Provider->NextProcTable.lpWSPSend( serviceConnection.GetSocket(), lpBuffers, dwBufferCount, lpNumberOfBytesSent, dwFlags, lpOverlapped, lpCompletionRoutine, lpThreadId, lpErrno ); SetBlockingProvider(NULL); }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

読み込まれたDLLファイルごとに1つの永続的な接続を保持する特殊なクラスを作成しました。

 class ServiceConnectionKeeper;
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

その役割は、ソケットの接続を維持することです。 したがって、ストレージサービスとの接続は1つだけ確立されます。



2.共通プロジェクト（共通フォルダー）-このプロジェクトには、Platform SDKの例で提供されているすべてのユーティリティが含まれています。 また、LSPプロバイダーからのGUID操作も行われました。

インストーラープロジェクト（Installerフォルダー）はLSPインストーラーです。 メインメソッドを変更しました-コマンドライン解析を削除し、TCPプロバイダーの検索を追加しました。 ここで、インストール中にTCPプロバイダーIDを探し、プロバイダーチェーンを再構築します。 プロバイダーをTCPの上に配置しました。

 if (IsHTTPRequest(lpBuffers->buf) && SocketContext->intercept) { SetBlockingProvider(SocketContext->Provider); ret = SocketContext->Provider->NextProcTable.lpWSPSend( serviceConnection.GetSocket(), lpBuffers, dwBufferCount, lpNumberOfBytesSent, dwFlags, lpOverlapped, lpCompletionRoutine, lpThreadId, lpErrno ); SetBlockingProvider(NULL); }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

3. Serviceプロジェクト（Serviceフォルダー）はトラフィックコレクターです。 これは単純なWindowsサービスであり、サービスをインストールおよびアンインストールする方法です。 このサービスのMAIN機能は、Socketサーバーも実装しています。 サービスを操作するすべてのロジックは、MSDNから親切に借りています。 サーバーはすべての着信接続を受け入れ、アプリケーションごとに個別のスレッドを起動します。 起動されたストリームは、「\ r \ n \ r \ n」（基本的には2つの空行）で区切られたデータを順番に受信し、ストレージに保存します。

 do { result = recv(clientSocket, buffer, PACKSIZE, 0); if (result > 0) { response += std::string(buffer, result); do { position = response.find(messageTerminator); if (std::string::npos != position) { if (!CollectorServer::Instance()->SaveData(std::string(response.begin(), response.begin() + position))) { return -1; } response = response.substr(position + messageTerminator.size()); } } while (std::string::npos != position); } else { break; } } while (SOCKET_ERROR != result);
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

このプロジェクトでの作業を開始するには、Visual Studioプロジェクト全体を組み立てる必要があります。 その後、NSIスクリプトをビルド結果フォルダーに入れて、Nsiスクリプトをコンパイルします。 インストールsetup.exeファイルを取得します

setup.exeのインストール中に、必要なすべてのファイルが作業フォルダーに解凍されます。 LSP.DLLは％SYSTEMROOT％\\ system32 \\ LSP.dllに配置されます。 サービスとプロバイダーのインストーラーはProgram Filesフォルダーに配置されます。 また、アンインストールショートカットはデスクトップに配置されます。 履歴ファイルはC：//のルートに配置されます。

結論とアドバイス。

この記事では、独自のプロバイダーを作成し、すべてのネットワークトラフィックを監視する方法について説明します。 しかし、これはこの技術を使用する唯一の例ではありません。 次のロジックを簡単に実装することもできます。

HTTP要求と応答をブロックします。

トラフィックの変更と削除。

接続をブロックします（ファイアウォールと同様）。

SLL暗号化データのインターセプト（MITMインターセプトを実行することも可能です）（ミドルの男）

インターネット接続が失われ、障害が発生したことを後悔しないように、LSPの開発には多くのレーキがありました。テストには仮想マシンを使用することをお勧めします。 毎回Windows回復システムを使用するよりも、VMイメージを以前の状態にロールバックする方がはるかに便利です。

ほとんどのウイルス対策ソフトウェアもこのテクノロジーを使用しているため、OSにインストールされているLSPプロバイダーのチェーンでそれらを見つけることができます。 また、アンチウイルスはトラフィックをフィルタリングするため、LSPプロバイダーをテストするときにアンチウイルスが問題になる可能性があります。

選択したアプリケーションを無視するロジックを追加できます。 そのため、アプリケーションが無視リストにある場合、LSPプロバイダーはデータの転送以外は何もしません。



このツールは、32ビットアプリケーション専用に開発されました。 ただし、64ビットアプリケーションに簡単に移植できます。 プロジェクトを64ビットに再構築し、プロバイダーのインストール中にLspCatalog64Onlyフラグを設定するだけです。



このツールを作成するために行われたPlatform SDKの例の変更を確認するには、テキストを元の例と比較できます。

また、コメント//追加によって追加されたすべてのコードブロックに注意しました

また、他のLSPプロバイダーとの競合を避けるために、LSPプロバイダーの新しいGUIDを生成する必要があることに注意してください。

便利なリンク

残念ながら、多くのリンクはありませんが、それらはまだそこにあります。



0. 英語のオリジナル記事





1. MSDNおよびPlatform SDKのドキュメント。



2. LSP開発者のWebサイトにも情報があります 。



プロジェクト自体はここにレイアウトされています

また、プロジェクトはGITHABに投稿されています