windows - 加载除NetService以外的Windows驱动程序类以充当NDIS筛选器

Question

是否可以使用windows驱动程序（如Ports类驱动程序），然后通过在其NetService中调用NdisFRegisterFilterDriver()将其自身设置为ndis筛选器（DriverEntry()类）驱动程序？这实质上是让驱动程序作为Ports和NetService类驱动程序执行双重任务，但是在一个单一的代码基和二进制中。
我正在尝试这样做，我看到注册ndis驱动程序的调用失败，特别是以下跟踪消息：

[0][mp]<==ndisCreateFilterDriverRegistry, FilterServiceName 807EFA18 Status c0000001
[0][mp]==>NdisFRegisterFilterDriver: DriverObject 84C6C428      
[0][mp]==>ndisCreateFilterDriverRegistry, FilterServiceName 807EFA18
[0][mp]<==ndisCreateFilterDriverRegistry, FilterServiceName 807EFA18 Status c0000001

我环顾四周，发现ndis驱动程序在很大程度上依赖于inf和inf本身在注册表中的值。我试图在注册ndis筛选器之前，通过手动添加 NetCfgInstanceId并在代码中调用该值来欺骗注册表项，但我遇到了这样一个问题：似乎是错误的做法。
推荐的方法是什么？在这一点上，我可以想象这将需要一个 Ports类驱动程序和 NetService类驱动程序，使用某种复合驱动程序将它们绑定在一起，以便能够进行通信，或者有一种方法让一个或另一个通过进程间通信进行通信。

Answer 1

严厉的警告
不要试图通过手动写入注册表项来“安装”筛选器。正如你所注意到的，这并不容易，即使你看起来让它工作了，当操作系统试图安装下一个lwf时，它都会崩溃。此外，我还添加了一些额外的强化功能，这些功能完全是为了防止人们对windows 10执行此操作；在劫持windows10中的网络绑定之前，您必须对操作系统造成重大损坏。
如何构造驱动程序包
不管怎样，你所描述的确实是可能的。方法是在驱动程序包中提供以下内容：
PNP样式的inf。此inf具有：
PORTS类
安装驱动程序服务的AddService指令
一个CopyFiles指令，将您需要的任何文件带入
PNP设备所需的任何其他位
netcfg样式的inf。此inf具有：
NETSERVICE类
通常的LWF材料：Characteristics=0x40000，FilterMediaTypes=xxx，FilterType=xxx，等等。
另一个inf中安装的服务的引用（HKR,Ndi,Service,,xxx）
不要包含第一个inf已经处理过的AddService或CopyFiles。
一个.sys文件。此驱动程序执行以下操作：
在DriverEntry中，调用NdisFRegisterFilterDriver，并传递服务名称“xxx”
在DriverEntry中，调用WdfDriverCreate或填写DRIVER_OBJET调度表，就像您通常为任何其他pnp驱动程序所做的那样
正常实现FilterAttach等；正常实现wdf evtxxx或wdm irp处理程序
不要忘记在NdisFDeregisterFilterDriver或EvtDriverUnload中调用DriverUnload，也不要忘记在DriverEntry的故障路径中调用Include。
如何安装这个精致的烂摊子
好消息是，有了这两个inf，您可以满足让1.sys文件做两件事的要求。坏消息是你现在有两个inf。更糟糕的是，其中一个inf是netcfg样式的inf，因此您不能只是Need+INetCfgClassSetup::Install它。安装netcfg样式inf的唯一方法是调用其命令行包装器NetCfg.exe（或Include）。windows update只知道如何安装pnp样式的inf，而pnp只知道如何SetupCopyOemInf其他pnp样式的inf。
所以最简单的解决方案是发送一个调用inetcfg api的安装程序exe/msi。如果你能做到这一点，这只是对INetCfg和INetCfg样板的几个调用，你可以在the bindview sample中找到它们。
但是，如果你必须支持硬件先安装，你需要拿出大炮。您需要编写一个Co-Installer并将其包含在驱动程序包中。协同安装程序的工作是在安装驱动程序包时调用INetCfgapi，在卸载包时取消注册。
通常不鼓励协同安装程序，通用驱动程序不支持协同安装程序。所以，除非你别无选择，否则你应该避免和别人一起安装。不幸的是，当通过windows update安装pnp设备驱动程序时，我想不出任何其他方法来注册ndis lwf。（这并不意味着没有一个狡猾的方法来做这件事；我不知道所有的事情。）
请注意，您无论如何都需要一个联合安装程序，即使您正在传送2.sys文件。调用NdisRegisterDeviceEx的需求不会因为合并了驱动程序二进制文件而改变。
局限性
您将拥有一个成熟的ndis lwf驱动程序，以及一个成熟的pnp设备驱动程序。唯一不起作用的（次要的）事情是您不能在这个驱动程序中调用NdisRegisterDeviceEx。原因是，当您从lwf调用WdfDeviceCreate时，ndis将尝试选择您的驱动程序调度表。但在这个pnp+lwf双驱动程序中，dispatch表由wdf或您拥有。这个限制是没有问题的，因为您可以调用 ，而且这个例程比ndis例程更易于使用，并且具有更多的功能。
通过上述配置，驱动程序服务归pnp所有。这意味着.sys文件的生存期归pnp所有。无法手动“net start”pnp驱动程序服务；加载.sys文件的唯一方法是实际枚举硬件。这意味着当硬件不存在时，您不能让ndis lwf运行。通常这是你想要的。如果不是，您可以尝试修改servicename指令，但是有一些奇怪的警告，我自己也不完全理解。