{"componentChunkName":"component---src-templates-post-template-js","path":"/a-part-of-anti-virus-3-02","result":{"data":{"markdownRemark":{"id":"c6b104f7-51c5-5f19-b71a-1fb2d16436fd","html":"

本章では、前の章で解説した WFP を使用した通信のフィルタリング機能の動作を実際に確認します。

\n

動作の確認には、指定したレイヤーに様々なフィルターを追加できるユーザーモードプログラムを使用します。

\n

このサンプルのユーザーモードプログラムのソースコードは以下のリポジトリで公開しています。

\n

URL: https://github.com/kash1064/book06-wfp-samples

\n\n

もくじ

\n\n

サンプルプログラムの概要

\n

上記のリポジトリからダウンロードしたサンプルプログラム (UserModeWFPFilter) のコードは、Visual Studio 2022 を使用してビルドできます。

\n

このプログラムは、以下の 2 つの機能を持ちます。

\n
    \n
  1. プログラムにハードコードされた設定に従い、特定のレイヤーにフィルターを追加する機能
    2. \n
  2. プログラムで登録したフィルターをすべて削除する機能
    3. \n
\n

このプログラムで登録されるフィルターはすべて独自の WFP プロバイダーである「Simple WFP User-Mode Provider」に紐づけられます。\nまた、このプロバイダーと紐づくすべてのフィルターを削除することで、設定の復元を行います。

\n

以下は、このサンプルプログラムを使用してフィルターの追加と削除を実施した際の画面キャプチャです。

\n

\n \n , rule.name, filterId);\n\n}\n

ループ処理の中で初めに呼び出される DefineFilterConditions 関数では、\nフィルターの条件を定義する FWPM_FILTER_CONDITION0 構造体のオブジェクトを作成しています。13

\n

この構造体は以下の通り定義されており、FWP_MATCH_TYPE 列挙型14FWP_CONDITION_VALUE0 構造体15をメンバーに含みます。

\n
typedef struct FWPM_FILTER_CONDITION0_ {\n  GUID                 fieldKey;\n  FWP_MATCH_TYPE       matchType;\n  FWP_CONDITION_VALUE0 conditionValue;\n} FWPM_FILTER_CONDITION0;
\n

FWPM_FILTER_CONDITION0 構造体の 1 つ目のメンバーである fieldKey には、\n登録するフィルターの条件として使用する GUID を指定します。

\n

ここで使用可能なキーはフィルター条件識別子として定義されています。16

\n

例えば、宛先のポート番号をフィルター条件に使用する場合は FWPM_CONDITION_IP_REMOTE_PORT を、\n通信元のアプリケーションのパスを条件に使用する場合は FWPM_CONDITION_ALE_APP_ID を使用できます。

\n

FWP_MATCH_TYPE 列挙型はフィルターの条件に使用される様々なマッチングの種類を定義します。

\n

サンプルプログラムで追加するフィルターでは基本的に FWP_MATCH_EQUAL を使用しており、\nシンプルに設定された値が条件と合致するかどうかを判断するフィルターとして機能します。

\n

フィルター条件に使用する FWP_MATCH_TYPE 列挙型によっては、\n値が条件として設定されたものより大きい場合や小さい場合を判断するフィルターなどを柔軟に作成できます。

\n

一方で FWP_CONDITION_VALUE0 構造体には、フィルター条件を照合する際に使用される値の情報が含まれます。

\n

もし fieldKey に FWPM_CONDITION_IP_REMOTE_PORT を使用している場合は、\n以下のように条件に使用する宛先ポート番号の整数値を登録します。

\n
conditionValue.type = FWP_UINT16;\nconditionValue.uint16 = remotePort;
\n

フィルターの条件を定義する FWPM_FILTER_CONDITION0 構造体のオブジェクトを作成したら、\n続いて FWPM_FILTER0 構造体のオブジェクトを作成します。

\n

この構造体は、フィルターの状態を含むものであり、以下のように定義されています。17

\n
typedef struct FWPM_FILTER0_ {\n  GUID                   filterKey;\n  FWPM_DISPLAY_DATA0     displayData;\n  UINT32                 flags;\n  GUID                   *providerKey;\n  FWP_BYTE_BLOB          providerData;\n  GUID                   layerKey;\n  GUID                   subLayerKey;\n  FWP_VALUE0             weight;\n  UINT32                 numFilterConditions;\n  FWPM_FILTER_CONDITION0 *filterCondition;\n  FWPM_ACTION0           action;\n  union {\n    UINT64 rawContext;\n    GUID   providerContextKey;\n  };\n  GUID                   *reserved;\n  UINT64                 filterId;\n  FWP_VALUE0             effectiveWeight;\n} FWPM_FILTER0;
\n

サンプルプログラムでは、BuildFilter 関数を用いて FWPM_FILTER0 構造体のオブジェクト filter を作成しています。

\n

ここで登録している値は、フィルターの名前や説明、レイヤーやサブレイヤーの GUID やフィルターのアクションなど、\nほとんどが FILTER_RULES のメンバーとしてグローバル変数で定義した値です。

\n
void BuildFilter(\n\tFWPM_FILTER0* filter,\n\tFWPM_FILTER_CONDITION0* condition,\n\tUINT32 conditionCount,\n\tconst FILTER_RULES& rule,\n\tconst GUID& providerKey)\n{\n\tif (filter == NULL || condition == NULL || conditionCount == 0) {\n\t\treturn;\n\t}\n\n\tfilter->displayData.name = (wchar_t*)rule.name;\n\tfilter->displayData.description = (wchar_t*)rule.description;\n\tfilter->filterKey = rule.filterKey;\n\tfilter->providerKey = const_cast<GUID*>(&providerKey);\n\tfilter->layerKey = rule.layerKey;\n\tfilter->subLayerKey = rule.subLayerKey;\n\tfilter->action.type = rule.action;\n\tfilter->weight.type = FWP_UINT64;\n\tfilter->weight.uint64 = const_cast<UINT64*>(&rule.weight);\n\tfilter->numFilterConditions = conditionCount;\n\tfilter->filterCondition = condition;\n\tfilter->flags = FWPM_FILTER_FLAG_PERSISTENT;\n}
\n

FWPM_FILTER0 構造体のオブジェクトを作成したら、最後に FwpmFilterAdd0 関数を使用してフィルターの登録を行います。

\n

FwpmFilterAdd0 関数は新しいフィルターをシステムに登録するために用意された関数であり、\nセッションへのハンドルと FWPM_FILTER0 構造体オブジェクトをパラメーターとして呼び出されます。18

\n
DWORD FwpmFilterAdd0(\n  [in]            HANDLE               engineHandle,\n  [in]            const FWPM_FILTER0   *filter,\n  [in, optional]  PSECURITY_DESCRIPTOR sd,\n  [out, optional] UINT64               *id\n);
\n

トランザクションをコミットする

\n

すべてのフィルター登録が完了したら、FwpmTransactionCommit0 関数を呼び出して開始したトランザクションをコミットします。19

\n

これで、ユーザーモードプログラムによるフィルターの登録が完了します。

\n
result = FwpmTransactionCommit0(engineHandle);\nif (result != ERROR_SUCCESS) {\n\tprintf(\"Error: Commit failed (0x%x)\\n\", result);\n\tFwpmTransactionAbort0(engineHandle);\n}\nelse {\n\tprintf(\"SUCCESS: Persistent filters added.\\n\");\n}
\n

フィルター調停の動作を確認する

\n

ユーザーモードで動作するサンプルプログラムによりフィルターを追加する挙動を確認したので、\nここからは実際にこのサンプルプログラムを使用して様々なフィルタリング動作を確認していきます。

\n

特定のポート番号への接続をブロックする

\n

まずはサンプルプログラムで定義している FILTER_RULES にて以下の条件を指定したフィルターを追加します。

\n
{ \n  FILTER_KEY_1, \n  FWPM_LAYER_ALE_AUTH_CONNECT_V4, \n  FWPM_SUBLAYER_UNIVERSAL, \n  L\"Block HTTPS(443)\", \n  L\"Block HTTPS(443)\", \n  443, \n  NULL, \n  FWP_ACTION_BLOCK, \n  0xFFFFFFFFFFFFFFF1 \n}
\n

このフィルターを登録した際のイベントを wfpdiag で確認してみると、\n以下のようにリモートポート番号 443 への通信をすべてブロックする条件を持つフィルターが\nFWPM_LAYER_ALE_AUTH_CONNECT_V4 レイヤーに追加されたことを確認できます。

\n

\n \n \n \n \n \n \n \n \n

\n

さらに、このフィルターの filterId である 71431 で処理されたイベントを確認すると、\n様々なアプリケーションによる 443 ポート宛ての通信がこのフィルターでドロップされたことを確認できます。

\n

\n \n \n \n \n \n \n \n \n

\n

同じサブレイヤー内でのフィルターの Weight の影響を確認する

\n

次に、すべての 443 番ポート宛ての通信をブロックする Block HTTPS(443) のフィルター設定はそのまま、\n同じ FWPM_LAYER_ALE_AUTH_CONNECT_V4 レイヤーのサブレイヤー FWPM_SUBLAYER_UNIVERSAL に、\nmsedge.exe の通信をすべて許可するフィルターを追加します。

\n

この時、Allow Edge フィルターの Weight は Block HTTPS(443) フィルターの Weight よりも 1 小さい値を指定しています。

\n
{ \n  FILTER_KEY_2, \n  FWPM_LAYER_ALE_AUTH_CONNECT_V4, \n  FWPM_SUBLAYER_UNIVERSAL, \n  L\"Allow Edge\", \n  L\"Allow Edge\", \n  0, \n  L\"C:\\\\Program Files (x86)\\\\Microsoft\\\\Edge\\\\Application\\\\msedge.exe\", \n  FWP_ACTION_PERMIT, \n  0xFFFFFFFFFFFFFFF0 \n}
\n

この 2 つのフィルターを登録した場合、Allow Edge フィルターは機能せず、\nmsedge.exe による 443 番ポート宛ての通信はすべてブロックされます。

\n

また、この通信をドロップしたことを示す netEvents 内の terminatingFiltersInfo についてもカウントは増えず、\nサブレイヤー FWPM_SUBLAYER_UNIVERSAL 内での評価結果は最も Weight の大きいフィルターである FWP_ACTION_BLOCK が適用されたことがわかります。

\n

\n \n \n \n \n \n \n \n \n

\n

続いて、Allow Edge フィルターの Weight を 0xFFFFFFFFFFFFFFFF に変更後、再度フィルターの登録を行います。

\n

すると、今度は msedge.exe を使用する場合のみ、443 番ポート宛ての通信が可能になります。

\n

この動作により、同じサブレイヤー内に競合するフィルターが登録された場合は、\n最も Weight の大きいフィルターのアクションが判定に使用されることがわかります。

\n

異なるサブレイヤーの Weight の影響を確認する

\n

次は、同じレイヤーの異なるサブレイヤーに競合するフィルターを登録した場合の動作を確認します。

\n

まず、サブレイヤーにはフィルターと同様に優先度を表す Weight の値が設定されており、\n特定のレイヤーで検査されるネットワークトラフィックは、そのレイヤーのすべてのサブレイヤーをサブレイヤーの Weight の順に通過します。

\n

\n \n \n \n \n \n \n \n \n

\n

この時行われる評価は、前項で確認したフィルターの評価と比較して、優先度の高い Weight を持つサブレイヤーの中で条件に合致するフィルターが見つかった場合でも、優先度の小さいサブレイヤーまですべての評価を行う点に大きな違いがあります。

\n

実際に、サンプルプログラム内の FILTER_RULES の設定を以下のように変更してこの動作を確認してみます。

\n
const FILTER_RULES rules[] = {\n\t{ FILTER_KEY_1, FWPM_LAYER_ALE_AUTH_CONNECT_V4, FWPM_SUBLAYER_MPSSVC_QUARANTINE, L\"Block HTTPS(443)\", L\"Block HTTPS(443)\", 443, NULL, FWP_ACTION_BLOCK, 0xFFFFFFFFFFFFFFF1 },\n\t{ FILTER_KEY_2, FWPM_LAYER_ALE_AUTH_CONNECT_V4, FWPM_SUBLAYER_UNIVERSAL, L\"Allow Edge\", L\"Allow Edge\", 0, L\"C:\\\\Program Files (x86)\\\\Microsoft\\\\Edge\\\\Application\\\\msedge.exe\", FWP_ACTION_PERMIT, 0xFFFFFFFFFFFFFFFF },\n};
\n

ここでは、すべての 443 ポート宛ての通信をブロックする Block HTTPS(443) と、\nmsedge.exe による通信を許可する Allow Edge のフィルターをそれぞれ同じレイヤーの異なるサブレイヤーに割り当てています。

\n

Block HTTPS(443) のフィルターが割り当てられている FWPM_SUBLAYER_MPSSVC_QUARANTINE の Weight は 4 です。\nそして、Allow Edge のフィルターが割り当てられている FWPM_SUBLAYER_UNIVERSAL の Weight は 32768 ですので、\n登録されているサブレイヤーの優先度としては Allow Edge のフィルターが割り当てられている FWPM_SUBLAYER_UNIVERSAL の方が高いです。

\n

しかし、この設定でフィルターを登録した場合には、msedge.exe による通信は許可されず、すべての 443 ポート宛ての通信がブロックされます。

\n

1 章で解説した通り、サブレイヤーの場合は Weight の大きいサブレイヤー内に条件に合致するフィルターが登録されている場合でも、\nレイヤー内のすべてのサブレイヤーの評価を行い最終的なアクションを決定します。

\n

また、最終的なアクションは WFP のポリシー規則に基づいて判定されるものであり、基本的には「ブロック」は「許可」のアクションをオーバライドします。

\n

そのため、このテスト結果のように、より Weight の大きいサブレイヤーでトラフィックが「許可」されている場合でも、他のサブレイヤーで「ブロック」された場合には、例外的な状況を除いて最終的な判定は「ブロック」になります。

\n

実際に、netevents の結果からも、terminatingFiltersInfo 内の評価されたフィルターのカウントが 3 つに増加しており、\nAllow Edge のフィルター (filterId:71441) と Block HTTPS(443) のフィルター (filterId:71440) の両方のフィルターが評価された結果、\n最終的な判定がトラフィックのドロップとなったことを確認できます。

\n

\n \n \n \n \n \n \n \n \n

\n

まとめ

\n

本章では、ユーザーモードプログラムから BFE を介して WFP フィルターを登録・削除する基本的な操作を確認しました。

\n

また、FWPM_LAYER_ALE_AUTH_CONNECT_V4 レイヤーを例に、\n同一サブレイヤー内のフィルターや異なるサブレイヤー内のフィルターによる評価結果の違いを検証し、\nWFP フィルタリングの実際の挙動を確認しました。

\n

次章では、Callout ドライバーを用いて分類処理を拡張し、\nユーザーモード連携による動的な許可/ブロック制御を扱います。

\n

本書のもくじ

\n\n
\n
\n
    \n
  1. \n

    FWPM_FILTER0 structure (fwpmtypes.h) https://learn.microsoft.com/ja-jp/windows/win32/api/fwpmtypes/ns-fwpmtypes-fwpm_filter0

    \n\n
    2. \n
  2. \n

    Management filtering layer identifiers https://learn.microsoft.com/windows-hardware/drivers/network/management-filtering-layer-identifiers

    \n\n
    3. \n
  3. \n

    Filtering sublayer identifiers https://learn.microsoft.com/ja-jp/windows/win32/fwp/management-filtering-sublayer-identifiers

    \n\n
    4. \n
  4. \n

    FWPM_DISPLAY_DATA0 structure (fwptypes.h) https://learn.microsoft.com/ja-jp/windows/win32/api/fwptypes/ns-fwptypes-fwpmdisplaydata0

    \n\n
    5. \n
  5. \n

    FWPM_ACTION0 structure (fwpmtypes.h) https://learn.microsoft.com/ja-jp/windows/win32/api/fwpmtypes/ns-fwpmtypes-fwpm_action0

    \n\n
    6. \n
  6. \n

    Management Functions https://learn.microsoft.com/ja-jp/windows/win32/fwp/fwp-mgmt-functions

    \n\n
    7. \n
  7. \n

    Sessions https://learn.microsoft.com/ja-jp/windows/win32/fwp/object-management#sessions

    \n\n
    8. \n
  8. \n

    FwpmEngineOpen0 function (fwpmu.h) https://learn.microsoft.com/ja-jp/windows/win32/api/fwpmu/nf-fwpmu-fwpmengineopen0

    \n\n
    9. \n
  9. \n

    Transactions https://learn.microsoft.com/ja-jp/windows/win32/fwp/object-management#transactions

    \n\n
    10. \n
  10. \n

    FwpmTransactionBegin0 function (fwpmu.h) https://learn.microsoft.com/ja-jp/windows/win32/api/fwpmu/nf-fwpmu-fwpmtransactionbegin0

    \n\n
    11. \n
  11. \n

    FwpmProviderAdd0 function (fwpmu.h) https://learn.microsoft.com/ja-jp/windows/win32/api/fwpmu/nf-fwpmu-fwpmprovideradd0

    \n\n
    12. \n
  12. \n

    FwpmProviderAdd0 function (fwpmu.h) https://learn.microsoft.com/ja-jp/windows/win32/api/fwpmu/nf-fwpmu-fwpmprovideradd0

    \n\n
    13. \n
  13. \n

    FWPM_FILTER_CONDITION0 structure (fwpmtypes.h) https://learn.microsoft.com/ja-jp/windows/win32/api/fwpmtypes/ns-fwpmtypes-fwpmfiltercondition0

    \n\n
    14. \n
  14. \n

    FWP_MATCH_TYPE enumeration (fwptypes.h) https://learn.microsoft.com/ja-jp/windows/win32/api/fwptypes/ne-fwptypes-fwpmatchtype

    \n\n
    15. \n
  15. \n

    FWP_CONDITION_VALUE0 structure (fwptypes.h) https://learn.microsoft.com/ja-jp/windows/win32/api/fwptypes/ns-fwptypes-fwpconditionvalue0

    \n\n
    16. \n
  16. \n

    Filtering condition identifiers https://learn.microsoft.com/ja-jp/windows/win32/fwp/filtering-condition-identifiers-

    \n\n
    17. \n
  17. \n

    FWPM_FILTER0 structure (fwpmtypes.h) https://learn.microsoft.com/ja-jp/windows/win32/api/fwpmtypes/ns-fwpmtypes-fwpm_filter0

    \n\n
    18. \n
  18. \n

    FwpmFilterAdd0 function (fwpmu.h) https://learn.microsoft.com/ja-jp/windows/win32/api/fwpmu/nf-fwpmu-fwpmfilteradd0

    \n\n
    19. \n
  19. \n

    FwpmFilterAdd0 function (fwpmu.h) https://learn.microsoft.com/ja-jp/windows/win32/api/fwpmu/nf-fwpmu-fwpmfilteradd0

    \n\n
    20. \n
\n
","fields":{"slug":"/a-part-of-anti-virus-3-02","tagSlugs":["/tag/a-part-of-anti-virus-3/","/tag/windows/","/tag/win-dbg/","/tag/anti-virus/"]},"frontmatter":{"date":"2026-04-11","description":"技術書典 20 で頒布した A PART OF ANTI-VIRUS 3 の WEB 版です。","tags":["A PART OF ANTI-VIRUS 3","Windows","WinDbg","AntiVirus"],"title":"A PART OF ANTI-VIRUS 3 - 公開サンプルコードで学ぶ Windows Filtering Platform (WFP) - (WEB 版)【2 章 WFP によるアクセス制御を行うサンプル】","socialImage":{"publicURL":"/static/272acc1e889df0e25d89217e89d5fd13/a-part-of-anti-virus-3.png"}}}},"pageContext":{"slug":"/a-part-of-anti-virus-3-02"}},"staticQueryHashes":["251939775","401334301","825871152"]}