Tryb użytkownika platformy filtrowania systemu Windows lub tryb jądra?

Question

Używam platformy filtrowania systemu Windows. Chcę utworzyć filtr ruchu, menedżera zabezpieczeń, który monitoruje pakiety i zdarzenia sieciowe lub blokuje adresy URL ... Wiem, że większość funkcji WFP można wywołać z trybu użytkownika lub trybu jądra. Zastanawiam się, czy napisać mój filtr przy użyciu funkcji trybu jądra lub tryb użytkownika? Czy istnieje jakiś rodzaj działań sieciowych, które można przechwycić tylko przy użyciu sterownika trybu jądra? Proszę, pomóż mi w tym zakresie.

Dzięki z góry za wszelką pomoc w tej sprawie

Answer 1

Alexandre ma rację, niektóre czynności można wykonać tylko w sterownikach WFP trybu jądra.

Możesz jednak również przyjrzeć się mojemu projektowi WinDivert (LGPL), który podnosi funkcjonalność trybu jądra WFP (tj. Przechwytywanie i modyfikowanie pakietów) w interfejsie użytkownika w trybie użytkownika. WinDivert zapewnia dla ciebie sterownik objaśnień.

Answer 2

WFP Objaśnienia mogą być stosowane wyłącznie przy użyciu sterowników trybu jądra. O ile wiem, modyfikowanie pakietów (NAT, przekierowanie portów, itp.) Może być wykonywane tylko za pomocą objaśnień w sterownikach trybu jądra.

UPDATE:

• zastosowanie trybu użytkownika może zostać użyty do płytkiej służb kontrolnych pakietów i kilka prostych operacji strumieniowych, jak również sterowników trybu jądra kontrolne.

• sterowniki trybu jądra może zrobić głębokiej inspekcji pakietów i płytkie i wszelkiego rodzaju manipulacji strumienia, ale nie może wchodzić w interakcje z popularnych aplikacji bez korzystania z aplikacji w trybie użytkownika wykonawczych API WFP.