Microsoft Network Monitor是否依赖于pcap / winpcap / libpcap libary?或者它已经构建了自己的libary / drivers来捕获网络数据包?我找不到有关该主题的任何信息。我问,因为Microsoft网络监视器安装后不需要重启(所以它不加载内核级驱动程序?)并捕获传入的数据包甚至在Windows 7上,原始数据包捕获不起作用。
有关原始数据包限制的其他信息:http://social.technet.microsoft.com/Forums/en-US/w7itpronetworking/thread/65ce9bee-897b-4c19-a4c6-4d3da103be44/
编辑:我自己找到答案 - 网络监视器引擎分为两部分:捕获引擎和解析引擎。
捕获引擎是与网络驱动程序接口规范(NDIS)接口以读取帧数据的驱动程序。它是在Windows Vista上自动安装的系统驱动程序。在以前的操作系统上,捕获驱动程序是系统的一部分。
另一方面,解析引擎处于用户模式。此引擎使用网络监视器分析语言(NPL)文件来确定如何解析原始帧数据。它还会过滤帧。
API可以访问引擎的两个部分,以及保存和加载捕获文件。
答案 0 :(得分:0)
Windows可能支持加载内核模块(.sys
文件)而无需重新启动,因此安装网络监视器后可能不必重新启动。
网络监视器不使用WinPcap;正如您所注意到的,它具有自己的NDIS驱动程序,其功能与WinPcap的NDIS驱动程序类似。