救急，救急，救急！如何在查毒软件之前截获数据包？象在趋势、norton杀毒软件之前？

  我现在要对数据包进行处理，但是要获取发包和收包的进程信息，如果在查毒软件之后获取包的相关进程信息，则获取的都是查毒软件的发包收包代理的进程的信息，请问如何能在查毒软件的代理之前获取数据包？象趋势，norton这些查毒软件对网络包进行过滤时，其网络驱动是那一层的？

我现在也在研究这个问题，
有机会一起研究
我联系方式
QQ：18632154
email：southeast1983@126.com

可以做个简单的测试，在passthru中把包拦下来不转，看看杀毒软件是否能感知到有包

首先应该分清楚两个情况: 收包和发包.
case 收包:
如果某个防火墙是hook了PtReceive和PtReceivePakcet而且阻止了某个包,而你的程序又是在中间层驱动做的或TDI层做的,我认为你可能就根本收不到这个包;除非你自己hook了以上两个函数而且又是在那个放火墙之后安装的.这就带来一个严重的问题,如果是一个malware最后一个安装在你的机器上,我认为它将掌控你机器的入口.
case 发包:
道理一样,你的程序应该在防火墙之前得到要发送的包.由于我对TDI不懂,也不知道如何首先得到它们.但原则应该是越高层越好.可是问题又来了,如果我的程序是通过我自己注册的协议驱动程序发送包的情况下,它根本就不走TDI,这又怎么办呢?当然还有办法,应该在其他地方截获它.如果连截获的地方都没有,就不用谈网络安全了。

以上仅是我个人的观点,并没有通过实验验证