Microsoft 网络监视器是否依赖于 pcap/winpcap/libpcap 库?或者它已经建立了自己的库/驱动程序来捕获网络数据包?我找不到有关该主题的任何信息。我在问,因为 Microsoft 网络监视器在安装后不需要重新启动(所以它不会加载内核级驱动程序?)并且即使在原始数据包捕获不起作用的 Windows 7 上也能捕获传入数据包。
有关原始数据包限制的其他信息:http: //social.technet.microsoft.com/Forums/en-US/w7itpronetworking/thread/65ce9bee-897b-4c19-a4c6-4d3da103be44/
编辑:我自己找到答案 - 网络监视器引擎分为两部分:捕获引擎和解析引擎。
捕获引擎是与网络驱动程序接口规范 (NDIS) 接口以读取帧数据的驱动程序。它是在 Windows Vista 上自动安装的系统驱动程序。在以前的操作系统上,捕获驱动程序是系统的一部分。
另一方面,解析引擎处于用户模式。该引擎使用网络监视器解析语言 (NPL) 文件来确定如何解析原始帧数据。它还过滤帧。
API 可以访问引擎的这两个部分,以及保存和加载捕获文件。