前の章では、WFP フィルターを登録して通信のブロックや許可を行うシンプルなユーザーモードプログラムを解説しました。
\n続いて、Antivirus や EDR などのソフトウェアでも広く利用されている WFP Callout ドライバーについて解説を行います。
\nWFP の Callout ドライバーについては、公式の Windows-driver-samples リポジトリの ./network/trans/ 配下にいくつかのサンプルプログラムが公開されています。
特に、このリポジトリ内で公開されている inspect サンプルは WFP Callout ドライバーによるトラフィックインスペクションの基礎的な機能を実装しており、\nAntivirus や EDR による WFP の利用方法に近しいサンプルの 1 つと言えます。
\nしかし、このサンプルプログラムはおよそ 3,000 行程度のコードで実装されており、\nWFP の Callout ドライバーの概要から順を追って解説するには少々複雑です。
\nそこで、本章では上記の公式のサンプルコードを参考に作成した、\nCallout ドライバーによる基本的なトラフィックの処理を理解するための最小限の機能を持つシンプルなカーネルドライバーのサンプルを使用します。
\n本章で解説するサンプルプログラムについても以下のリポジトリからダウンロードすることができます。
\nURL: https://github.com/kash1064/book06-wfp-samples
\n\n本章で解説するサンプルプログラムは、WFP の Callout を理解するために作成した比較的シンプルな Callout ドライバーです。
\nこのカーネルドライバーは以下の機能を実装しており、特に Antivirus や EDR において重要な WFP Callout の機能をシンプルに実装しています。
\nなお、1. の操作のうち Callout 関数の登録についてはカーネルドライバー側で行う必要がありますが、\nCallout を呼び出すためのフィルターの追加についてはカーネルモードとユーザーモードのどちらからでも行うことができます。1
\nそのため、一般的にはフィルターの登録はユーザーモードプログラム側で行われることが多いですが、\n今回のサンプルプログラムではカーネルモードで稼働するドライバー側でフィルターの追加も実装しています。
\nこのサンプルプログラムをビルドすると以下のファイルが生成されるため、まずはこれらのファイルをすべてテスト署名モードを有効化した仮想マシンにコピーします。
\n続いて、コピーした KernelWFPCalloutDriver.sys を KernelWFPCalloutDriver としてシステムに登録します。
\nカーネルドライバーのインストールは sc コマンドなどを使用して行うことも可能ですが、\n今回は OSR Driver Loader を使用して以下のようにサービスの登録と実行を行います。
\nKernelWFPCalloutDriver の登録と実行が完了したら、続いてユーザーモードプログラムである UserModeCalloutSample.exe を実行します。
\nこの時、実行時コマンドライン引数として permit もしくは block を使用することで、Callout を使用してフィルタリングしたトラフィックを許可するかブロックするかを指定できます。
\nUserModeCalloutSample.exe [permit|block]実際にこのサンプルプログラムを実行してみると、UserModeCalloutSample.exe が Callout ドライバーに指示したトラフィックの処理内容を確認することができます。
\nまず、このカーネルドライバーは WDM ドライバーとして実装しており、初期化を行う DriverEntry 関数内では主に以下の操作を行います。
\nSampleWfpCallout) やスピンロック、セマフォ、リストなどのドライバー内で使用するオブジェクトの初期化今回のサンプルプログラムでは Callout によるトラフィックのブロック判定をシステムに常駐するユーザーモードプログラムに委譲します。
\nこのため、DriverEntry 関数内では IRP_MJ_DEVICE_CONTROL と対応する IRP ハンドラ関数として、\nユーザーモードプログラムとカーネルドライバー間の情報連携を行うための DispatchDeviceControl 関数を登録しています。
また、この中で呼び出される RegisterCalloutAndFilter 関数内では、Callout 関数や WFP フィルターの登録を行います。
\nRegisterCalloutAndFilter 関数内で行う処理の大部分は、2 章で使用したサンプルプログラムによるフィルターの登録操作とほぼ同じであり、\nエンジンへのセッションを開いてトランザクションを開始し、WFP のサブレイヤーやフィルターの登録を行った後にトランザクションをコミットしています。
\nしかし、このドライバーは Callout フィルターの登録を行うため、2 章で使用したサンプルプログラムとは異なり、\nFwpsCalloutRegister3 関数や FwpmCalloutAdd 関数による Callout の登録を行います。
\nこれらの操作の詳細については次の項で解説します。
\nサンプルドライバー側で実装されている RegisterCalloutAndFilter 関数では、まず初めに FwpsCalloutRegister3 関数を使用して Callout 関数の登録を行います。2
\nFWPS_CALLOUT3 callout = {};\ncallout.calloutKey = CALLOUT_KEY;\ncallout.classifyFn = (FWPS_CALLOUT_CLASSIFY_FN3)SampleClassify;\ncallout.notifyFn = (FWPS_CALLOUT_NOTIFY_FN3)SampleNotify;\ncallout.flowDeleteFn = SampleFlowDelete;\n\nstatus = FwpsCalloutRegister3(\n deviceObject, \n &callout, \n &gCalloutId\n );FwpsCalloutRegister3 関数は、FWPS_CALLOUT3 構造体3の関数ポインターを Callout 関数として登録します。
FWPS_CALLOUT3 構造体には、Callout ドライバーが関数ポインターを登録するために必要な情報が定義されています。
この構造体は以下のように定義されています。
\ntypedef struct FWPS_CALLOUT3_ {\n GUID calloutKey;\n UINT32 flags;\n FWPS_CALLOUT_CLASSIFY_FN3 classifyFn;\n FWPS_CALLOUT_NOTIFY_FN3 notifyFn;\n FWPS_CALLOUT_FLOW_DELETE_NOTIFY_FN0 flowDeleteFn;\n} FWPS_CALLOUT3;このパラメーターのうち classifyFn と notifyFn は、それぞれ登録する関数へのポインターと対応しており、FWPS_CALLOUT_CLASSIFY_FN3 コールバック関数型4および FWPS_CALLOUT_NOTIFY_FN3 コールバック関数型5へのポインターという形で渡されます。
今回のコードの場合は、SampleClassify 関数という、このドライバーのコード内で定義している関数を classifyFn に、また SampleNotify 関数を notifyFn にセットしています。
\nFwpsCalloutRegister3 関数が登録する関数ポインターに関する情報が定義された FWPS_CALLOUT3 構造体には、\nCallout で処理されるネットワークデータが存在する場合に呼び出される Callout 関数である classifyFn (FWPS_CALLOUT_CLASSIFY_FN3) と、\nCallout に関するイベントを通知するために呼び出される notifyFn (FWPS_CALLOUT_NOTIFY_FN3) の 2 種類の関数ポインターが含まれます。
このサンプルプログラムでは、分類処理用の Callout 関数として SampleClassify 関数を実装しています。
\n分類処理用の Callout 関数は、Callout によってネットワークデータの処理を行う関数で、\nフィルターエンジンからいくつかのデータとともに呼び出しが行われます。6
\nこの分類処理用の Callout 関数の呼び出し時には、FWPS_INCOMING_VALUES0 構造体や FWPS_INCOMING_METADATA_VALUES0 構造体などの情報がパラメーターとして与えられます。
まず、分類処理用の Callout 関数に渡される FWPS_INCOMING_VALUES0 構造体7は、\n実データである FWPS_INCOMING_VALUE0 構造体8を含む形で以下のように定義されています。
typedef struct FWPS_INCOMING_VALUE0_ {\n FWP_VALUE0 value;\n} FWPS_INCOMING_VALUE0;\n\ntypedef struct FWPS_INCOMING_VALUES0_ {\n UINT16 layerId;\n UINT32 valueCount;\n FWPS_INCOMING_VALUE0 *incomingValue;\n} FWPS_INCOMING_VALUES0;FWPS_INCOMING_VALUES0 構造体の incomingValue は、実際のデータ (FWP_VALUE0) を含む FWPS_INCOMING_VALUE0 構造体の配列へのポインターであり、\nvalueCount は incomingValue として与えられた配列内の要素の数です。
また、同じく分類処理用の Callout 関数にパラメーターとして渡される FWPS_INCOMING_METADATA_VALUES0 構造体には、\nフィルターエンジンから Callout 関数に与えられた各種メタデータが含まれます。
このサンプルプログラムでは FWPM_LAYER_ALE_AUTH_CONNECT_V4 レイヤーにフィルターを登録しており、\nCallout 関数が使用するランタイムフィルターレイヤー9は FWPS_LAYER_ALE_AUTH_CONNECT_V4 になります。10
そのため、分類処理用の Callout 関数にパラメーターとして渡される FWPS_INCOMING_VALUES0 構造体 (incomingValue) の各データには、\n以下のように FWPS_FIELDS_ALE_AUTH_CONNECT_V4 列挙型11の値をデータフィールド識別子として使用してアクセスすることができます。12
remoteAddressV4 = inFixedValues->incomingValue[FWPS_FIELD_ALE_AUTH_CONNECT_V4_IP_REMOTE_ADDRESS].value.uint32;\n\nremotePort = inFixedValues->incomingValue[FWPS_FIELD_ALE_AUTH_CONNECT_V4_IP_REMOTE_PORT].value.uint16;\n\nlocalPort = inFixedValues->incomingValue[FWPS_FIELD_ALE_AUTH_CONNECT_V4_IP_LOCAL_PORT].value.uint16;\n\nipProtocol = inFixedValues->incomingValue[FWPS_FIELD_ALE_AUTH_CONNECT_V4_IP_PROTOCOL].value.uint8;\n\naleFlags = inFixedValues->incomingValue[FWPS_FIELD_ALE_AUTH_CONNECT_V4_FLAGS].value.uint32;分類処理のために呼び出された SampleClassify 関数では、さらにパラメーターとして受け取った FWPS_INCOMING_METADATA_VALUES0 構造体 (inMetaValues) に含まれるいくつかのメタデータの評価を行います。
例えば以下では、構造体に設定されているメタデータ値を示すメタデータフィールド識別子 (currentMetadataValues) を参照し、\nFWPS_METADATA_FIELD_PROCESS_ID のビットの有無からプロセス ID の情報を取得可能であるか確認し、\n取得可能な場合はそのプロセス ID の情報を processId として保存しています。13
if ((inMetaValues->currentMetadataValues & FWPS_METADATA_FIELD_PROCESS_ID) != 0)\n{\n processId = inMetaValues->processId;\n}その後、分類処理用の Callout 関数である SampleClassify 関数では、\nCallout 関数に通知されたネットワークトラフィックが「ALE フローの再認証」が要求されたトラフィックであるかを評価し、\n再認証要求ではない場合には FwpsPendOperation0 関数によるトラフィック処理の保留を行います。
\n一方で、通知されたネットワークトラフィックが再認証要求されたものである場合には、\nユーザーモードプログラム側の判定結果を元にトラフィックをブロックもしくは許可します。
\nこのような Callout 関数によるユーザーモードプログラムとの連携については、後の項で解説します。
\nこのサンプルプログラムでは、イベント通知用の Callout 関数として SampleNotify 関数を実装しています。
\nイベント通知用の Callout 関数は、前項で解説した分類処理用の Callout 関数とは異なり、フィルターの追加や削除などのイベントが発生した場合に呼び出されます。14
\nこのサンプルプログラムではイベント通知用の Callout である SampleNotify 関数は以下の通り非常にシンプルに実装しており、\n発生したイベントの種類に関する情報を含む FWPS_CALLOUT_NOTIFY_TYPE 列挙型の値 (notifyType) をパラメーターとして受け取り、\nその結果を元にイベントの発生をデバッグメッセージとして出力します。
switch (notifyType)\n{\n case FWPS_CALLOUT_NOTIFY_ADD_FILTER:\n DbgPrintEx(\n DPFLTR_IHVDRIVER_ID, \n DPFLTR_INFO_LEVEL, \n \"Sample callout: filter added\\n\"\n );\n break;\n\n case FWPS_CALLOUT_NOTIFY_DELETE_FILTER:\n DbgPrintEx(\n DPFLTR_IHVDRIVER_ID, \n DPFLTR_INFO_LEVEL, \n \"Sample callout: filter deleted\\n\"\n );\n break;\n\n default:\n break;\n}\nreturn STATUS_SUCCESS;本章で解説するサンプルプログラムではユーザーモードプログラム側の判定結果を利用して\nCallout ドライバーによるトラフィックのブロックを行います。
\nこの項では、このサンプルプログラムのコア機能である Callout ドライバーとユーザーモードプログラムの連携について詳しく解説します。
\nWFP の Callout ドライバーは、classifyFn に登録された分類処理用の Callout 関数を使用し、\nCallout 関数が受け取った各パラメーター内の情報をユーザーモードプログラムに転送し、\nユーザーモードプログラム側の判定結果を元にネットワークトラフィックのブロックや許可を行うことができます。
\nこのような操作は多くの場合非同期的な処理により行われますが、使用するレイヤーにより実現の方法が異なります。
\n今回のサンプルプログラムでは ALE Connect レイヤーで処理を行うため、まず FwpsPendOperation0 関数を classifyFn として登録されている関数から呼び出して操作を中断し、\nその後ユーザーモードプログラム側の処理が可能になったタイミングで FwpsCompleteOperation0 関数を呼び出して分類処理を完了します。15
\nFwpsPendOperation0 関数16は、ユーザーモードプログラムなどによる別の操作の完了を待つ必要のある分類処理を一時中断するために Callout 関数により呼び出されます。
\nこの関数は以下の通り定義されており、分類処理用の Callout 関数の呼び出し時にパラメーターとして渡される\nFWPS_INCOMING_METADATA_VALUES0 構造体に含まれる completionHandle を引数として呼び出され、\nこの中断した操作と対応するハンドルを completionContext として保存します。
この completionContext に保持されたハンドルは、FwpsCompleteOperation0 関数の呼び出し時に使用します。
\nNTSTATUS FwpsPendOperation0(\n [in] HANDLE completionHandle,\n [out] HANDLE *completionContext\n);FwpsCompleteOperation0 関数17は、中断されていた操作を再開するために呼び出される関数で、\n分類処理の中断時に保存した completionContext をパラメーターとして受け取ります。
\nvoid FwpsCompleteOperation0(\n[in] HANDLE completionContext,\n[in, optional] PNET_BUFFER_LIST netBufferList\n);このサンプルプログラムのカーネルドライバー側では、分類処理用の Callout 関数として登録されている SampleClassify 関数内で以下のように分類処理の中断が行われます。
\nFWPS_INCOMING_VALUES0 構造体 (inFixedValues) に含まれるフィルタリング条件フラグ18を参照し、FWP_CONDITION_FLAG_IS_REAUTHORIZE フラグの有無を確認する (新しい接続かどうかを確認する)具体的には、FwpsPendOperation0 の呼び出しから pending への情報の保存については以下のコードで実装しています。
\nstatus = FwpsPendOperation0(\n (HANDLE)inMetaValues->completionHandle,\n &completionContext\n );\n\n/* 省略 */\n\nPENDING_CLASSIFY* pending = \\\n (PENDING_CLASSIFY*)ExAllocatePool2(\n POOL_FLAG_NON_PAGED, \n sizeof(PENDING_CLASSIFY), \n 'pfCW'\n );\n\n/* 省略 */\n\nRtlZeroMemory(pending, sizeof(*pending));\npending->RequestId = (UINT64)InterlockedIncrement64(&gNextRequestId);\npending->CompletionContext = completionContext;\npending->ProcessId = processId;\npending->RemoteAddressV4 = remoteAddressV4;\npending->RemotePort = remotePort;\npending->LocalPort = localPort;\npending->IpProtocol = ipProtocol;\npending->Queued = TRUE;上記のコードで保存された情報は、安全な操作のためにスピンロックを確保した後、\nInsertTailList 関数により各リストにエントリを追加します。
\nまた、KeReleaseSemaphore 関数によりセマフォのカウントのインクリメントも行います。
\nKIRQL oldIrql;\nKeAcquireSpinLock(&gPendingLock, &oldIrql);\nInsertTailList(&gOutstandingList, &pending->OutstandingEntry);\nInsertTailList(&gPendingQueue, &pending->QueueEntry);\nKeReleaseSpinLock(&gPendingLock, oldIrql);\nKeReleaseSemaphore(&gPendingSemaphore, IO_NO_INCREMENT, 1, FALSE);これらの情報は、ユーザーモードプログラムとの連携時に使用します。
\nSampleClassify 関数が初めての接続に対して以上の中断処理を実施したあと、\n最後にブロックされたデータをイベントログへの記録や監査を行わずにサイレントに削除する FWPS_CLASSIFY_OUT_FLAG_ABSORB フラグを使用して FWP_ACTION_BLOCK を返します。
classifyOut->actionType = FWP_ACTION_BLOCK;\nclassifyOut->flags |= FWPS_CLASSIFY_OUT_FLAG_ABSORB;\nclassifyOut->rights &= ~FWPS_RIGHT_ACTION_WRITE;これで、Callout 関数による接続の中断処理が完了します。
\nこのサンプルプログラムでは、IRP_MJ_DEVICE_CONTROL と対応する IRP ハンドラ関数として割り当てられた DispatchDeviceControl 関数を使用して、ユーザーモードプログラムとの連携を行います。
ここでは、ユーザーモードプログラムから DeviceIoControl 関数により送信された以下のいずれかの独自に定義された IOCTL を処理します。
\nIOCTL_WFP_GET_NEXT_REQUESTIOCTL_WFP_SUBMIT_DECISIONIOCTL_WFP_GET_NEXT_REQUEST は、ユーザーモードプログラムが Callout 関数により中断された接続要求に関する情報をカーネルドライバー側から取得するために使用します。
一方で、IOCTL_WFP_SUBMIT_DECISION は、ユーザーモードプログラムがカーネルドライバー側から取得したリクエストに対する判定結果を通知するために使用します。
IOCTL_WFP_GET_NEXT_REQUEST の要求は、ユーザーモードプログラム側から以下のコードで呼び出されます。
BOOL ok = DeviceIoControl(\n device,\n IOCTL_WFP_GET_NEXT_REQUEST,\n nullptr,\n 0,\n &request,\n sizeof(request),\n &bytesReturned,\n nullptr);パラメーターとして渡される request は USER_CLASSIFY_REQUEST 構造体のオブジェクトであり、カーネルドライバー側から分類対象のトラフィックに関する情報を受け取るために使用します。
typedef struct _USER_CLASSIFY_REQUEST\n{\n unsigned long long RequestId;\n unsigned long long ProcessId;\n unsigned long RemoteAddressV4;\n unsigned short RemotePort;\n unsigned short Reserved;\n} USER_CLASSIFY_REQUEST;カーネルドライバー側では、IOCTL_WFP_GET_NEXT_REQUEST の IOCTL 要求を受け、主に以下の操作を行います。
PENDING_CLASSIFY 構造体として保存するUSER_CLASSIFY_REQUEST 構造体と対応する情報を保存する上記の操作の内、特にキューから取得した情報をユーザーモードプログラムに渡す処理は主に以下のコードで行われます。
\nKIRQL oldIrql;\nPENDING_CLASSIFY* pending = nullptr;\nUSER_CLASSIFY_REQUEST* request = (USER_CLASSIFY_REQUEST*)irp->AssociatedIrp.SystemBuffer;\n\nKeAcquireSpinLock(&gPendingLock, &oldIrql);\nif (!IsListEmpty(&gPendingQueue))\n{\n PLIST_ENTRY queueEntry = RemoveHeadList(&gPendingQueue);\n pending = CONTAINING_RECORD(queueEntry, PENDING_CLASSIFY, QueueEntry);\n pending->Queued = FALSE;\n}\nKeReleaseSpinLock(&gPendingLock, oldIrql);\n\n\nif (pending == nullptr)\n{\n status = STATUS_RETRY;\n}\nelse\n{\n DbgPrintEx(DPFLTR_IHVDRIVER_ID, DPFLTR_INFO_LEVEL,\n \"Sample callout: dispatch request id=%llu pid=%llu\\n\",\n pending->RequestId,\n pending->ProcessId);\n request->RequestId = pending->RequestId;\n request->ProcessId = pending->ProcessId;\n request->RemoteAddressV4 = pending->RemoteAddressV4;\n request->RemotePort = pending->RemotePort;\n request->Reserved = 0;\n information = sizeof(USER_CLASSIFY_REQUEST);\n status = STATUS_SUCCESS;\n}一方、IOCTL_WFP_SUBMIT_DECISION と対応する IOCTL 要求を受けた場合、カーネルドライバー側では主に以下の操作を行います。
FWP_CONDITION_FLAG_IS_REAUTHORIZE フラグが ALE フローの再認証要求が発生した場合に参照されるリストに追加するこれらの操作は、主に以下のように実装されています。
\nDECISION_ENTRY* decisionEntry = \\\n (DECISION_ENTRY*)ExAllocatePool2(\n POOL_FLAG_NON_PAGED, \n sizeof(DECISION_ENTRY), 'dfCW'\n );\n\n/* 省略 */\n\nRtlZeroMemory(decisionEntry, sizeof(*decisionEntry));\ndecisionEntry->ProcessId = pending->ProcessId;\ndecisionEntry->RemoteAddressV4 = pending->RemoteAddressV4;\ndecisionEntry->RemotePort = pending->RemotePort;\ndecisionEntry->LocalPort = pending->LocalPort;\ndecisionEntry->IpProtocol = pending->IpProtocol;\ndecisionEntry->Block = (decision->Block != 0) ? TRUE : FALSE;\n\n\nKeAcquireSpinLock(&gPendingLock, &oldIrql);\nInsertTailList(&gDecisionList, &decisionEntry->ListEntry);\nKeReleaseSpinLock(&gPendingLock, oldIrql);\n\nDbgPrintEx(DPFLTR_IHVDRIVER_ID, DPFLTR_INFO_LEVEL,\n \"Sample callout: submit decision id=%llu block=%lu\\n\",\n decision->RequestId,\n decision->Block);\n\nCompleteAndFreePending(pending);\nstatus = STATUS_SUCCESS;\ninformation = sizeof(USER_CLASSIFY_DECISION);これで、ユーザーモードプログラムとの情報連携が行われ、最終的な判定結果を含む情報が、FWP_CONDITION_FLAG_IS_REAUTHORIZE フラグが ALE フローの再認証要求が発生した場合に参照されるリストである gDecisionList に追加されます。
最後に、この判定結果を利用し、Callout 関数にてトラフィックのブロックもしくは許可を行います。
\n前述した通り、分類処理用の Callout 関数として登録されている SampleClassify 関数内では、\n初めての接続要求を FwpsPendOperation0 関数により中断し、ユーザーモードプログラム側からの判定結果の受け取りを待機していました。
\nその後、ユーザーモードプログラム側から IOCTL_WFP_SUBMIT_DECISION と対応する IOCTL 要求を受け取ることで、\nカーネルドライバーでは中断したトラフィックに対して FwpsCompleteOperation0 関数を呼び出します。
保留中のトラフィックに対して FwpsCompleteOperation0 関数が呼び出されると、ALE フローの再認証要求がトリガーされます。21
\nその後、この ALE フローの再認証要求に対して再度分類処理用の Callout 関数が呼び出され、今度は以下のコード部分が実行されます。
\nif ((aleFlags & FWP_CONDITION_FLAG_IS_REAUTHORIZE) != 0)\n{\n KIRQL oldIrql;\n DECISION_ENTRY* decision = nullptr;\n BOOLEAN block = TRUE;\n\n KeAcquireSpinLock(&gPendingLock, &oldIrql);\n decision = TakeDecisionLocked(processId, remoteAddressV4, remotePort, localPort, ipProtocol);\n KeReleaseSpinLock(&gPendingLock, oldIrql);\n\n if (decision != nullptr)\n {\n block = decision->Block;\n ExFreePoolWithTag(decision, 'dfCW');\n }\n\n classifyOut->actionType = block ? FWP_ACTION_BLOCK : FWP_ACTION_PERMIT;\n if (block)\n {\n classifyOut->rights &= ~FWPS_RIGHT_ACTION_WRITE;\n }\n DbgPrintEx(DPFLTR_IHVDRIVER_ID, DPFLTR_INFO_LEVEL,\n \"Sample callout: reauth decision pid=%llu action=%s\\n\",\n processId,\n block ? \"BLOCK\" : \"PERMIT\");\n return;\n}このコードの中では、ユーザーモードプログラム側から受け取った最終的な判定結果を含む情報がリストから取得され、\nその結果に基づいて actionType に FWP_ACTION_BLOCK もしくは FWP_ACTION_PERMIT を設定することで、\nCallout によるトラフィックのブロックもしくは許可を行っています。
本章では、WFP Callout ドライバーを用いて、ALE レイヤーでトラフィックを制御する基本的な実装を解説しました。
\n本章で解説したユーザーモードプログラムとの連携によるトラフィックの分析などは、\nAntivirus や EDR による WFP 活用の基礎となっています。
\nWFP の Callout は本章で扱った内容以外にも、ストリーム検査や再注入など多くの操作を実装できますが、\n本章で解説したサンプルプログラムの実装はこれらを理解するための最小限の土台になると思います。
\n最後までお読みいただき、ありがとうございました。
\n本書では、Windows Filtering Platform (WFP) の基本的なアーキテクチャから、\nユーザーモードでのフィルター登録、そして Callout ドライバーによるトラフィック制御までを、\n段階的に解説してきました。
\n特に、Antivirus や EDR における実装の観点で重要になる「どのレイヤーで、どの情報を使って、どのように判定するか」という点について、\nできるだけ実践的な形で理解できるように構成したつもりです。
\n一方で、WFP には本書で扱いきれなかったトピックも多く存在します。
\n例えば、より複雑なストリームインスペクションや再注入 (re-injection) の動作については、\nAntivirus および EDR のコンテキストで WFP を語る上で、さらに深掘りする価値があると思います。
\n本書が、WFP を使ったセキュリティ機能の理解や実装を始める際の足がかりになれば幸いです。
\nWindows Kernel Programming, Second Edition P.493 (Pavel Yosifovich 著 / Independently published / 2023 年)
\n↩\nFwpsCalloutRegister3 function (fwpsk.h) https://learn.microsoft.com/ja-jp/windows-hardware/drivers/ddi/fwpsk/nf-fwpsk-fwpscalloutregister3
\n↩\nFWPS_CALLOUT3 structure (fwpsk.h) https://learn.microsoft.com/ja-jp/windows-hardware/drivers/ddi/fwpsk/ns-fwpsk-fwps_callout3
FWPS_CALLOUT_CLASSIFY_FN3 callback function (fwpsk.h) https://learn.microsoft.com/ja-jp/windows-hardware/drivers/ddi/fwpsk/nc-fwpsk-fwpscalloutclassify_fn3
FWPS_CALLOUT_NOTIFY_FN3 callback function (fwpsk.h) https://learn.microsoft.com/ja-jp/windows-hardware/drivers/ddi/fwpsk/nc-fwpsk-fwpscalloutnotify_fn3
Processing Classify Callouts https://learn.microsoft.com/ja-jp/windows-hardware/drivers/network/processing-classify-callouts
\n↩\nFWPS_INCOMING_VALUES0 structure (fwpstypes.h) https://learn.microsoft.com/ja-jp/windows/win32/api/fwpstypes/ns-fwpstypes-fwpsincomingvalues0
FWPS_INCOMING_VALUE0 structure (fwpstypes.h) https://learn.microsoft.com/ja-jp/windows/win32/api/fwpstypes/ns-fwpstypes-fwpsincomingvalue0
Run-time filtering layer identifiers https://learn.microsoft.com/ja-jp/windows-hardware/drivers/network/run-time-filtering-layer-identifiers
\n↩\nFiltering layer identifiers https://learn.microsoft.com/ja-jp/windows/win32/fwp/management-filtering-layer-identifiers-#remarks
\n↩\nFWPS_FIELDS_ALE_AUTH_CONNECT_V4 enumeration (fwpsk.h) https://learn.microsoft.com/ja-jp/windows-hardware/drivers/ddi/fwpsk/ne-fwpsk-fwpsfieldsaleauthconnectv4
Data field identifiers https://learn.microsoft.com/ja-jp/windows-hardware/drivers/network/data-field-identifiers
\n↩\nMetadata field identifiers https://learn.microsoft.com/ja-jp/windows-hardware/drivers/network/metadata-field-identifiers
\n↩\nProcessing Notify Callouts https://learn.microsoft.com/ja-jp/windows-hardware/drivers/network/processing-notify-callouts
\n↩\nProcessing Classify Callouts Asynchronously https://learn.microsoft.com/ja-jp/windows-hardware/drivers/network/processing-classify-callouts-asynchronously
\n↩\nFwpsPendOperation0 function (fwpsk.h) https://learn.microsoft.com/ja-jp/windows-hardware/drivers/ddi/fwpsk/nf-fwpsk-fwpspendoperation0
\n↩\nFwpsCompleteOperation0 function (fwpsk.h) https://learn.microsoft.com/ja-jp/windows-hardware/drivers/ddi/fwpsk/nf-fwpsk-fwpscompleteoperation0
\n↩\nFiltering condition flags https://learn.microsoft.com/ja-jp/windows-hardware/drivers/network/filtering-condition-flags
\n↩\nTypes of Callouts https://learn.microsoft.com/ja-jp/windows-hardware/drivers/network/types-of-callouts
\n↩\nKeWaitForSingleObject function (wdm.h) https://learn.microsoft.com/ja-jp/windows-hardware/drivers/ddi/wdm/nf-wdm-kewaitforsingleobject
\n↩\nPending Connection Reauthorization https://learn.microsoft.com/ja-jp/windows/win32/fwp/ale-re-authorization#pending-connection-reauthorization
\n↩\n