是否有WMI查询可以监视网络连接;不是网络适配器连接/断开连接或WiFi网络连接/断开连接,而是通过指定某些事件回调,而不是反复(按常规间隔进行轮询,然后进行diff(,或嗅探,而不是 netstat〜5-tuple: (source IP address, source IP port, destination IP address, destination IP port, process ID)的输出。网络数据包?我似乎找不到一个。
不确定是否有任何API可以为您提供回调,任何解决方案均基于轮询。
但是
您可以将DLL注入实用程序编写为A Windows Service ,它可以将一些有针对性的 winsock2 函数(例如 Connect ect(插入,并存储所需的信息,然后可以是通过某种 ipc 。
Windows插座2(Windows(-MSDN -Microsoft
Internocess Communications(Windows(-MSDN -Microsoft
有几个问题将是
- 跟踪新加载的过程。但是,借助内核模式驱动程序,您可以将加载和卸载 挂载
- 不使用 winsock2 的过程(我不确定您想去的兔子洞有多远(。也许您可以监视驾驶员级别更基本的东西(尽管我不确定(
挂钩体系结构完成后,您就可以公开某种 ipc ,因此您的用户模式监视器可以提取所需的信息...
我在以前的作业中面临类似的问题,当时我们不得不将32和64个应用程序的打印功能钩住打印作业和指标。简而言之,这是完全可能的,如果您不介意一点C
,实际上并不难。大部分工作都可以在Mathias Rauen开发的Madcodehook的帮助下为您完成。他已经开发了驱动程序,也是跟踪过程和DLL注入的各种技巧的绝佳API。
无论如何,祝你好运