5

我正在使用 Windows 过滤平台。我想创建一个流量过滤器、安全管理器,它监视数据包和网络事件或阻止 url...我知道大多数 WFP 函数都可以从用户模式或内核模式调用。我想知道是使用内核模式函数还是用户模式函数来编写我的过滤器?是否有任何类型的网络操作只能通过使用内核模式驱动程序来捕获?请在这方面帮助我。

提前感谢您对此事的任何帮助

4

2 回答 2

6

WFP 标注只能使用内核模式驱动程序进行部署。据我所知,修改数据包(NAT、端口转发等)只能使用内核模式驱动程序上的标注来完成。

更新:

  • 用户模式应用程序可用于进行浅包检查和一些简单的流操作以及控制内核模式驱动程序。

  • 内核模式驱动程序可以进行深度和浅层数据包检查和各种流操作,但如果不使用实现 WFP API 的用户模式应用程序,则无法与常见应用程序交互。

于 2012-10-04T16:35:18.760 回答
2

Alexandre 是正确的,有些事情只能通过内核模式 WFP 标注驱动程序来完成。

但是,您可能还想查看我的项目WinDivert (LGPL),它将一些 WFP 内核模式功能(即拦截和修改数据包)提升到用户模式 ​​API。WinDivert 为您提供标注驱动程序。

于 2012-10-24T15:42:49.543 回答