我从具有NDIS驱动程序和Pcap库的PC中捕获了所有数据包 我可以区分这些数据包的进程并按进程对数据包进行分类吗? 或者我应该使用recv,发送关于所有进程的函数钩子?
答案 0 :(得分:0)
当数据包到达NDIS层时,关于谁发送数据包的高层元数据消失了。 (如果您尝试获取当前进程,则会发现当前进程ID通常是错误的.NDIS在任意进程上下文中发送流量,而不是发送方的原始上下文。)
在Windows中执行此操作的首选方法是开发a WFP callout。向WFP标注提供数据包,发送过程,用户身份和其他元数据。
Microsoft不鼓励您挂钩功能。不鼓励使用LSP,并且操作系统不会在所有情况下运行您的LSP(例如,商店应用程序)。