windows - 调试 WFP 标注驱动程序的选项有哪些-6ren

windows - 调试 WFP 标注驱动程序的选项有哪些

转载作者：可可西里更新时间：2023-11-01 10:05:47

34

4

我是内核模式 Windows 驱动程序开发的新手，在从 WFP 标注示例中获取调试信息时遇到问题。我正在寻找更多选项或关于我一直在尝试的选项做错了什么的提示。

首先，我下载了 WFP sampler并按照其描述中的说明进行操作。我正在使用通过模拟串行电缆连接的 Windows 8.1 x64 主机和 Windows 7 x64 目标。它们都是 VirtualBox VM。

我调试的主要命令是

WFPSampler.Exe -s PROXY -l FWPM_LAYER_ALE_BIND_REDIRECT_V4 -aaid "C:\Program Files (x86)\Internet Explorer\iexplore.exe" -pla 10.0.2.15 -v

其中 10.0.2.15 是不同网络接口(interface)的 IP 地址，而不是路由表的最终流量。我还按照说明的建议使用了以下检查命令:

WFPSampler.exe -s BASIC_PACKET_EXAMINATION -l FWPM_LAYER_INBOUND_IPPACKET_V4 -v

“netsh wfp show state”显示与预期层关联的标注和过滤器

但是，按照这些说明的最后步骤，我从未从 traceview 收到任何消息。 Tracelog 也有类似的输出缺失。无论是否在驱动程序项目上启用 WPP 跟踪，情况都是如此。我还尝试了更高的详细程度，但都没有效果。

此外，visual studio 中的远程调试器停止在“驱动程序安装后操作 (x64)(可能重新启动):通过”或“等待重新连接...”，重新启动目标不会导致调试器即时窗口中出现更多输出(输出窗口从未得到任何输出)。重新启动目标 VM 没有得到任何异常提示(我读到的一些内容暗示它应该)。设置调试器时的重新连接复选框有时会导致它越过“等待重新连接...”提示，其他时候则不需要。我设置了一些应该命中的断点，包括每个分类函数顶部的一个断点，但没有一个被命中。

我尝试使用 WinDbg 进行调试，但老实说，我找不到有关如何使用此工具的文档。我在目标机器上启动它并选择本地内核调试。然后我得到一个提示，告诉我符号搜索路径无效并且不知道我应该将其设置为什么。如果它能让我调试这些标注驱动程序，那么任何关于如何使用此工具而不是仅仅安装它的文档都可能会有所帮助。

当然，最后我尝试仅根据症状对其进行调试，我发现检查标注据我所知没有任何作用，而代理标注只是吃掉来自目标应用程序的所有流量，但有一个警告。需要注意的是，当我使用代理标注定位 firefox 或 chrome 并尝试启动该应用程序时，它无法启动 UI，并且无法从任务管理器中终止部分启动的进程。

我假设该行为可能是示例未能检查 FwpsQueryPacketInjectionState 的结果，但我认为应该使用的尽我所能修改似乎不会改变行为。

所以简而言之，我被卡住了，需要指导吗？

最佳答案

我开始尝试使用 WFPSampler 并发现跟踪不起作用。奇怪的是，有很多额外的代码可以使 WPP 跟踪在多个操作系统上工作，但该示例没有捕获任何跟踪事件。所以我调试了它，发现对 nt!WmiTraceMessage 的调用总是传递 2 作为 TRACE_HANDLE。这看起来很糟糕。可以肯定地说，解读 WPP 宏然后最终在 .vcxprog 文件中找到来源并不是完全直接的。 WPP_COMPID_LEVEL_LOGGER(COMPID,LEVEL)=2 的定义不正确。当我在那里时，我还通过添加 2 将 DbgPrintEx 级别转换为与 Tace_Level 匹配，以便错误/警告与模型匹配。

为 SysLib/WFPSampler 和 Sys/WFPSamplerCalloutDriver 完成以下步骤

打开项目
右键单击 WFPSamplerCalloutDriver
卸载项目
右键单击 WFPSamplerCalloutDriver
编辑 WFPSamplerCalloutDriver.vcxproj
类型:WppPreprorpocessorDefinitions
在文件的两个地方更改此定义:

收件人:

<WppTraceFunction>DbgPrintEx(COMPID,LEVEL,MSG,...)</WppTraceFunction
<WppPreprocessorDefinitions>WPP_COMPID_LEVEL_LOGGER(COMPID,lvl)=(WPP_CONTROL(0).Logger),;WPP_COMPID_LEVEL_ENABLED(COMPID,lvl)=(WPP_CONTROL(0).Level >= lvl+2)</WppPreprocessorDefinitions>

保存文件
右键单击 WFPSamplerCalloutDriver
点击重新加载项目
重建

我相信如果您采用这种使用 DbgPrintEx 作为跟踪功能的模型，您可以在不编辑整个项目的情况下切换到 WPP。但是，我仍然认为最好只在您的程序中进行转换。

干杯，

约翰

关于windows - 调试 WFP 标注驱动程序的选项有哪些，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/26495816/

34

4

0

文章推荐： mongodb 从查找查询中检索数组值

文章推荐： python - Tornado 不接受 POST 方法

文章推荐： windows - echo 在从文本文件中读取时不评估变量

文章推荐： windows - 写入 Windows 安全日志

scala - 选项[ future [选项[Int]]] => future [选项[Int]]
给定一个 Option[Future[Option[Int]]] : scala> val x: Option[Future[Option[Int]]] = Some ( Future ( Some
scala - EitherT[选项，A，B] ===选项[Either[A，B]]
如果我理解正确，EitherT[Option,A,B] 应该与 Option[Either[A,B]] 相同，但编译器不同意.以下代码编译失败: def f[A,B] = implicitly[Eit
npm - 这个错误是什么意思？有 `useBuiltIns` 选项，需要直接设置 `corejs` 选项
我刚开始在使用 parcel.js 构建静态 Assets 时遇到此错误。它在本地工作，但我在 Heroku 上的构建出错，我不确定它是否相关。最佳答案得到同样的问题。通过将 core-js 安装
c# - Telerik 报告只有 PDF 选项，没有 Excel 和 Word 选项
当我生成 Telerik Report 时，只有 Export PDF 可用。即使我将 docx 和 xlsx 的配置设置为 true。这是我在网络配置中的配置。
ios - 在 itunesConnect 中，我的应用程序显示 Apple Pay 选项，我正在使用 Braintree。如何摆脱在我的 itunesConnect 中显示 Apple Pay 选项？
我的 iTunesConnect 应用程序显示 Apple Pay 选项。我正在使用布伦特里。即使我们没有在应用程序中使用 Apple Pay 功能。有人可以帮我解决如何在我的 itunesCon
从命令行执行时MySQL输出帮助/选项
我正在 Raspbian 中从命令行运行以下查询: mysql -u $NAME -p $PASS Tweets -e "SELECT count(*) FROM raw_tweets;" 它输出以下
ffmpeg -r 选项
我正在尝试使用 ffmpeg(在 linux 下)为视频添加一个小标题。所以，我使用: ffmpeg -i hk.avi -r 30000/1001 -metadata title="SOF" hk_
用于视频流的 FFMPEG 选项
我正在尝试使用 ffmpeg 使用 ffserver 流式传输视频。您将在 ffserver1.conf 文件下方找到 ffmpeg 命令的日志输出。其中一个错误引用了预设，每次我尝试使用预设时，我
具有折叠操作的 Scala 选项
我正在尝试对 Option 使用 fold 或 map 操作而不是 match。我有一个选项 val ao: Option[String] = xxxx 和一个函数 f: (String => Fu
Dockerfile FROM --platform 选项
Dockerfile documentation表示有可能通过 --platform FROM 中的选项像这样的指令: FROM [--platform=] [AS ] 在我的 dockerfile
jquery - 将数据动态添加到属性/选项
我不确定“属性(property)”或“选项”是否是正确的术语，但这是我需要弄清楚的。鉴于以下情况: ' $.fileup({ url: '/file/upload',
选择 jQuery IF 选项
我正在尝试使用 jQuery 检查是否选择了值 = 1 的选择选项，然后将类添加到某些元素。但有些东西不起作用。可以请人看一下代码吗？我的代码: Reservation
VIM:选项、变量和两者之间的转换
我对 VIM 中的这些感到困惑。有些事情需要设置，而另一些则让。而且，我如何检查某个选项。我知道这是一个选项，因为我使用 set 来更改它。例如，如何检查当前文件类型选项是否为 java？最佳答
javascript - 当用户将鼠标悬停在链接上时想要显示图标/选项
关闭。这个问题需要多问focused 。目前不接受答案。想要改进此问题吗？更新问题，使其仅关注一个问题 editing this post . 已关闭 8 年前。 Improve this ques
F# 选项...它们真的能防止空引用异常吗
我在看《Professional F# 2.0》一书作者展示如下代码 let a string : option = None if a.IsNone then System.Console.
用于检查输入参数的 Java 选项
我习惯使用方法顶部的 java 样板检查输入参数: public static Boolean filesExist(String file1, String file2, String file3
PHP 正则表达式将字符串解释为命令行属性/选项
假设我有一串 "Insert Post -title Some PostTitle -category 2 -date-posted 2013-02:02 10:10:10" 我一直在尝试做的是将这个
KotlinJvmOptions useIR 选项
从 1.3.70 EAP 开始，在 org.jetbrains.kotlin.gradle.dsl.KotlinJvmOptions 这是 var useIR: kotlin.Boolean 哪个激活
Magento - 获取已订购捆绑项目的子项/选项
我无法获取订购捆绑商品的所有子产品及其选项。这可能吗？最佳答案以下是您如何找出哪些产品应与所有其他项目一起附加到列表中的捆绑产品中的方法: foreach ($order->getAllItems
java - 找到类型转换的流程/选项
这个问题不太可能对任何 future 的访客有帮助；它只与一个较小的地理区域、一个特定的时间点或一个非常狭窄的情况相关，通常不适用于全世界的互联网受众。如需帮助使此问题更广泛适用，visit the

首页

博学

6Ren·AI

商城

windows - 调试 WFP 标注驱动程序的选项有哪些