我正在使用Windows过滤平台。我想创建一个流量过滤器,安全管理器,它监视数据包和网络事件或阻止URL ...我知道大多数WFP功能可以从用户模式或内核模式调用。我想知道是否使用内核模式函数或用户模式函数来编写我的过滤器?是否有任何类型的网络操作只能通过使用内核模式驱动程序捕获?请帮助我。
提前感谢您对此事的任何帮助
答案 0 :(得分:4)
WFP标注只能使用内核模式驱动程序进行部署。据我所知,修改数据包(NAT,端口转发等)只能使用内核模式驱动程序上的标注来完成。
更新:
用户模式应用程序可用于执行浅包检测和一些简单的流操作以及控制内核模式驱动程序。
内核模式驱动程序可以进行深度和浅层数据包检查以及各种流操作,但如果不使用实现WFP API的用户模式应用程序,则无法与常见应用程序交互。
答案 1 :(得分:1)
Alexandre是正确的,有些事情只能通过内核模式WFP标注驱动程序完成。
但是,您可能还想查看我的项目WinDivert(LGPL),它将一些WFP内核模式功能(即拦截和修改数据包)提升为用户模式API。 WinDivert为您提供了标注驱动程序。