在tdi或者ndis能不能得到是那个进程发送的irp

楼主^#

更多发布于：2004-01-01 01:26

最近在学习的过程中有一个疑问，也可以说是内核编程的疑问，当一个应用程序发出发包请求，程序从用户空间转换到内核空间执行tdi或者ndis，我看到的书上说，此时驱动程序是工作在任意的进程上下文中的那么此时如果调用psgetcurrentprocess是否得到的进程也许不是实际发出发包请求的进程？

如果是这样的话，那么那些防火墙软件又是如何实现检测到当前是那个程序在发包呢？对了，还有tdiview也可以看到是那个程序在发包

谢谢了！

喜欢1

最新喜欢：

hunter...

dlmufox 驱动牛犊注册日期2003-10-05 最后登录2016-01-09 粉丝0 关注0 积分0分威望0点贡献值0点好评度0点原创分0分专家分0分加关注写私信	沙发^# 发布于：2004-01-01 17:43 ding
	回复(0) 喜欢(0)

$fracker$ fracker 驱动太牛注册日期2001-06-28 最后登录2021-03-30 粉丝0 关注0 积分219分威望81点贡献值0点好评度23点原创分0分专家分1分加关注写私信	板凳^# 发布于：2004-01-01 20:46 在TDI可以得到当前进程信息， ndis发包的时候已经没有进程上下文了。
	回复(0) 喜欢(0)

dlmufox 驱动牛犊注册日期2003-10-05 最后登录2016-01-09 粉丝0 关注0 积分0分威望0点贡献值0点好评度0点原创分0分专家分0分加关注写私信	地板^# 发布于：2004-01-01 21:09 大侠能不能具体解释一下原因呀？还是msdn上提到过小弟我确实没看见呀！谢谢了
	回复(0) 喜欢(0)

shuangsy

驱动牛犊

注册日期2004-03-15
最后登录2018-05-26
粉丝0
关注0
积分11分
威望41点
贡献值0点
好评度0点
原创分0分
专家分0分

加关注写私信

地下室^#

发布于：2004-07-31 10:58

你这个问题我也遇到了。

我经过实验，得到了一个事实。
在TDI层中，IRQL总是PASSIVE_LEVEl。
这时是可以调用PsGetCurrentProcess函数的。
而在NDIS层中，IRQL有时在PASSIVE_LEVEL，
有时在DISPATCH_LEVEL或其它中断级，
这时，根据NTDDK的说明，
PsGetCurrentProcess函数就会有时可能执行，
有时不能执行了。

这样的结果就是，在NDIS层中，用户不能总是得到当前的进程名。

以德服人

回复喜欢

lixiangying 驱动牛犊注册日期2002-05-03 最后登录2007-09-09 粉丝0 关注0 积分9分威望1点贡献值0点好评度1点原创分0分专家分0分加关注写私信	5楼^# 发布于：2004-08-18 11:08 tdi 中可以用psgetcurrentprocessID后返回应用层查询得到其完整路径。而psgetcurrentprocessID可以工作在任意IRQL.
	回复(0) 喜欢(0)

tooflat 论坛版主注册日期2002-07-08 最后登录2014-03-11 粉丝2 关注0 积分1007分威望551点贡献值3点好评度476点原创分0分专家分0分加关注写私信	6楼^# 发布于：2004-08-20 18:28 ndis层已经没有进程上下文，即使psgetcurrentprocessID成功，也只是返回系统线程的id，如果要得到进程名，可以在tdi层，不查询win32也可以得到进程的全路径，这个可以在网上搜一下，有代码。
	回复(0) 喜欢(0)

您需要登录后才可以回帖，登录或者注册