Associando Contexto a um Fluxo de Dados
Para textos explicativos que processam dados em uma camada de filtragem que dá suporte a fluxos de dados, o driver de texto explicativo pode associar um contexto a cada fluxo de dados. Esse contexto é opaco para o mecanismo de filtro. A função de texto explicativo classifyFn do texto explicativo pode usar esse contexto para salvar informações de estado específicas do fluxo de dados para a próxima vez que for chamado pelo mecanismo de filtro para esse fluxo de dados. O mecanismo de filtro passa esse contexto para a função de texto explicativo classifyFn do texto explicativo por meio do parâmetro flowContext . Se nenhum contexto estiver associado ao fluxo de dados, o parâmetro flowContext será zero.
Para associar um contexto a um fluxo de dados, a função de texto explicativo classifyFn de um texto explicativo do texto explicativo chama a função FwpsFlowAssociateContext0 . Por exemplo:
// Context structure to be associated with data flows
typedef struct FLOW_CONTEXT_ {
.
. // Driver-specific content
.
} FLOW_CONTEXT, *PFLOW_CONTEXT;
#define FLOW_CONTEXT_POOL_TAG 'fcpt'
// classifyFn callout function
VOID NTAPI
ClassifyFn(
IN const FWPS_INCOMING_VALUES0 *inFixedValues,
IN const FWPS_INCOMING_METADATA_VALUES0 *inMetaValues,
IN OUT VOID *layerData,
IN const FWPS_FILTER0 *filter,
IN UINT64 flowContext,
IN OUT FWPS_CLASSIFY_OUT *classifyOut
)
{
PFLOW_CONTEXT context;
UINT64 flowHandle;
NTSTATUS status;
...
// Check for the flow handle in the metadata
if (FWPS_IS_METADATA_FIELD_PRESENT(
inMetaValues,
FWPS_METADATA_FIELD_FLOW_HANDLE))
{
// Get the flow handle
flowHandle = inMetaValues->flowHandle;
// Allocate the flow context structure
context =
(PFLOW_CONTEXT)ExAllocatePoolWithTag(
NonPagedPool,
sizeof(FLOW_CONTEXT),
FLOW_CONTEXT_POOL_TAG
);
// Check the result of the memory allocation
if (context == NULL)
{
// Handle memory allocation error
...
}
else
{
// Initialize the flow context structure
...
// Associate the flow context structure with the data flow
status = FwpsFlowAssociateContext0(
flowHandle,
FWPS_LAYER_STREAM_V4,
calloutId,
(UINT64)context
);
// Check the result
if (status != STATUS_SUCCESS)
{
// Handle error
...
}
}
}
...
}
Se um contexto já estiver associado a um fluxo de dados, ele deverá primeiro ser removido antes que um novo contexto possa ser associado ao fluxo de dados. Para remover um contexto de um fluxo de dados, a função de texto explicativo classifyFn de um texto explicativo do texto explicativo chama a função FwpsFlowRemoveContext0 . Por exemplo:
// Context structure to be associated with data flows
typedef struct FLOW_CONTEXT_ {
...
} FLOW_CONTEXT, *PFLOW_CONTEXT;
#define FLOW_CONTEXT_POOL_TAG 'fcpt'
// classifyFn callout function
VOID NTAPI
ClassifyFn(
IN const FWPS_INCOMING_VALUES0 *inFixedValues,
IN const FWPS_INCOMING_METADATA_VALUES0 *inMetaValues,
IN OUT VOID *layerData,
IN const FWPS_FILTER0 *filter,
IN UINT64 flowContext,
OUT FWPS_CLASSIFY_OUT *classifyOut
)
{
PFLOW_CONTEXT context;
UINT64 flowHandle;
NTSTATUS status;
...
// Check for the flow handle in the metadata
if (FWPS_IS_METADATA_FIELD_PRESENT(
inMetaValues,
FWPS_METADATA_FIELD_FLOW_HANDLE))
{
// Get the flow handle
flowHandle = inMetaValues->flowHandle;
// Check whether there is a context associated with the data flow
if (flowHandle != 0)
{
// Get a pointer to the flow context structure
context = (PFLOW_CONTEXT)flowContext;
// Remove the flow context structure from the data flow
status = FwpsFlowRemoveContext0(
flowHandle,
FWPS_LAYER_STREAM_V4,
calloutId
);
// Check the result
if (status != STATUS_SUCCESS)
{
// Handle error
...
}
// Cleanup the flow context structure
...
// Free the memory for the flow context structure
ExFreePoolWithTag(
context,
FLOW_CONTEXT_POOL_TAG
);
}
}
...
}
Nos exemplos anteriores, a variável calloutId contém o identificador de tempo de execução para o texto explicativo. O identificador de tempo de execução é o mesmo identificador que foi retornado ao driver de texto explicativo quando o driver de texto explicativo registrou o texto explicativo com o mecanismo de filtro.