使用驱动程序挂钩网络功能，高级概述？

Question

我刚刚成功编写了我的第一个 Windows 驱动程序（尚未注册 - 但我设法创建了这些东西！）。

我想知道是否有人可以给我一个关于如何实现以下目标的高度概述：

我想编写一个驱动程序，当计算机接收到网络数据包时，在 Windows 对数据包执行操作之前，该驱动程序将实现一些行为，我想获取这些数据并将其输出到 C 或 C++ 程序的控制台。

假设我编写了一个带有控制台的 C/C++ 程序。 C/C++ 程序如何与我编写的挂钩网络活动的驱动程序交互？是否只是一些调用我的驱动程序的 C 代码，该函数将数据作为对象返回，然后我可以使用该对象在控制台中显示？

预先感谢您的任何可能的答复

Answer 1

您不需要驱动程序来执行此任务。使用数据包嗅探器库，如 PCap （实际上你需要 WinPCap）。捕获数据包并将其打印到控制台非常简单。

另一种方法是原始套接字。但桌面 Windows（与 Windows Server 相反）限制原始套接字功能。

Answer 2

如果您确实需要驱动程序，或者需要在数据包到达 Windows 网络堆栈之前对其进行操作或过滤，则需要研究过滤器驱动程序。

然后，该过滤器驱动程序可以公开一个设备文件，用户空间应用程序可以在该文件上读/写。 Windows DDK 包含示例。