返回信息流想问一下各位阿
win下的程序访问网络是不是最后都要通过调用windows提供的API来实现??
我想通过监控windows API函数来分析程序的网络行为应该怎么做?
这是一条镜像帖。来源:北邮人论坛 / security / #33419同步于 2011/12/21
该镜像源已超过 30 天没有更新,可能在源站已被删除。
Security机器人发帖
win下的网络访问
karon1988
2011/12/21镜像同步2 回复
订阅后,新回复会通过你的通知中心匿名送达。
2 条回复
所我所知,做网络行为分析的话,还是以下几种方法靠谱:
1. 用LSP做封包过滤(google搜到的一个介绍文章http://blog.csdn.net/superleolx/article/details/5581823)。这是跑在ring3的
2. TDI过滤驱动。VISTA以上操作系统不支持。这是跑在ring0的。
3. NDIS中间层过滤驱动。这是跑在ring0的。
编号越大,难度越大。但也更难以绕过,因为更接近系统底层。
thx
【 在 smilefufu 的大作中提到: 】
: 所我所知,做网络行为分析的话,还是以下几种方法靠谱:
: 1. 用LSP做封包过滤(google搜到的一个介绍文章http://blog.csdn.net/superleolx/article/details/5581823)。这是跑在ring3的
: 2. TDI过滤驱动。VISTA以上操作系统不支持。这是跑在ring0的。
: ...................