基于NDIS检测木马通信

zhangmiaosl 2008-03-03 09:32:42
我想基于NDIS编程监控木马通信实现木马的检测,但现在不知道这样做可行否,并且用它和用Winpcap等开发包有什么不同,比winpcap有优势吗?因为我知道winpcap的底层也是用NDIS的。很迷惑,着急!谢谢!
...全文
59 2 打赏 收藏 转发到动态 举报
写回复
用AI写文章
2 条回复
切换为时间正序
请发表友善的回复…
发表回复
meiZiNick 2008-04-30
  • 打赏
  • 举报
 回复
支持搂主,收藏
taianmonkey 2008-03-03
  • 打赏
  • 举报
 回复
其实wincap也是一个NDIS中间媒介驱动!可以好好参考一下wincap实现的抓包,分析的方法!原理都是一个样!
仅仅使用NDIS去对木马进行检测是很不够的,要结合文件系统的驱动才可以达到好的效果!
基于网络驱动技术的木马通信检测系统 (2010年)
为提高木马程序的网络通信检测率,在比较各种包截获技术优缺点的基础上,设计并实现一种基于NDIS Hook驱动的木马通信检测系统,给出主要模块和数据结构,提出基于网络通信行为分析技术的木马通信识别模型。...
windows网络安全防火墙与虚拟网卡视频教程
内容涵盖了Windows内核工作机制与原理、底层驱动通信原理、wfp网络过滤框架、ndis网络框架、windows虚拟网卡、Windows网络基础以及用户层到内核层网络开发等方面,深入浅出地介绍了驱动中的网络开发和网络过滤器的...
Windows网络驱动、NDIS驱动(微端口驱动、中间层驱动、协议驱动)、TDI驱动(网络传输层过滤)、WFP(Windows Filtering Platfrom))
2.NDIS驱动 3.NDIS微端口驱动编程实例 4.NDIS中间层驱动编程实例 5.TDI驱动 6.TDI驱动 7.TDI的过滤框架 8.WFP(Windows Filtering Platform windows过滤平台) 0.引言 最早出现的网络驱动应该是网卡驱动,这...
[13]Windows 内核情景分析 --- 网络通信
典型的基于tcpip协议套接字方式的网络通信模块层次: 应用程序 socket api WS2_32.dll socket irp Afd.sys tdi irp Tcpip.sys 回调函数接口 各Ndis中间层过滤驱动 回调函数接口 小端口驱动 中断交互...
驱动开发/核心开发

21,597

社区成员

21,709

社区内容

发帖
与我相关
我的任务
社区描述
硬件/嵌入开发 驱动开发/核心开发
社区管理员
  • 驱动开发/核心开发社区
加入社区
  • 近7日
  • 近30日
  • 至今

加载中

查看更多榜单
社区公告
暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章