0
NDIS 드라이버와 Pcap 라이브러리가있는 PC에서 모든 패킷을 캡처했습니다.
이 패킷과 프로세스별로 패킷을 구분할 수 있습니까? 또는 recv를 사용해야하며 모든 프로세스에 대해 함수 후크를 보내야합니까?패킷과 프로세스 구분
A
답변
0
패킷이 NDIS 계층에 도달 할 때까지 패킷을 보낸 사람에 대한 상위 계층 메타 데이터가 사라집니다. 현재 프로세스를 얻으려고하면 현재 프로세스 ID가 잘못된 것입니다 .NDIS는 보낸 사람 원래 컨텍스트가 아닌 임의 프로세스 프로세스에서 트래픽을 전송합니다.
Windows에서이 작업을 수행하는 가장 좋은 방법은 a WFP callout을 개발하는 것입니다. WFP 콜 아웃에는 패킷, 전송 프로세스, 사용자 ID 및 기타 메타 데이터가 제공됩니다.
Microsoft는 기능을 후킹하지 않습니다. LSP조차도 권장하지 않으며 OS는 모든 경우 (예 : 상점 애플리케이션)에 LSP를 실행하지 않습니다.
프로세스 용 포트와 다른 패킷을 시도했습니다. 그러나 포트 번호는 매우 다양합니다. 그리고 인터넷 브라우저 크롬과 탐색기도 같은 원격 포트 번호 80을 사용합니다 ... 그러나 PID는 같지 않습니다 ... 패킷에서 PID를 사용하도록 WFP를 개발해야합니까? Winpcap 라이브러리에 있지 않습니까? 나는 시간이 없다 ... – Lightstar
Like TCPView ... – Lightstar
TCPView는 이전 버전의 Windows 용으로 설계 되었기 때문에 아마도 LSP를 사용한다. TCPView는 NDIS 드라이버로 쓸 수 없습니다. –