【发布时间】:2012-04-11 00:32:47
【问题描述】:
Microsoft 网络监视器是否依赖于 pcap/winpcap/libpcap 库?或者它已经建立了自己的库/驱动程序来捕获网络数据包?我找不到有关该主题的任何信息。我在问,因为 Microsoft 网络监视器在安装后不需要重新启动(所以它不会加载内核级驱动程序?)并且即使在 Windows 7 上也可以捕获传入的数据包,其中原始数据包捕获不起作用。
有关原始数据包限制的其他信息:http://social.technet.microsoft.com/Forums/en-US/w7itpronetworking/thread/65ce9bee-897b-4c19-a4c6-4d3da103be44/
编辑:我自己找到答案 - Network Monitor引擎分为捕获引擎和解析引擎两部分。
捕获引擎是与网络驱动程序接口规范 (NDIS) 接口以读取帧数据的驱动程序。它是在 Windows Vista 上自动安装的系统驱动程序。在以前的操作系统上,捕获驱动程序是系统的一部分。
另一方面,解析引擎处于用户模式。该引擎使用网络监视器解析语言 (NPL) 文件来确定如何解析原始帧数据。它还过滤帧。
API 可以访问引擎的这两个部分,以及保存和加载捕获文件。
【问题讨论】:
标签: pcap