Ist der Microsoft Netzwerkmonitor von der pcap/winpcap/libpcap Bibliothek abhängig? Oder hat es seine eigene Bibliothek/Treiber gebaut, um Netzwerkpakete zu erfassen? Ich kann keine Informationen zu diesem Thema finden. Ich frage, cos Microsoft Network Monitor erfordert keinen Neustart nach der Installation (so lädt es Kernel-Treiber nicht?) Und erfasst eingehende Pakete sogar unter Windows 7, wo die rohen Pakete erfassen nicht funktioniert.Wie funktioniert der Microsoft Netzwerkmonitor?
Weitere Informationen über Rohpakete Einschränkung: http://social.technet.microsoft.com/Forums/en-US/w7itpronetworking/thread/65ce9bee-897b-4c19-a4c6-4d3da103be44/
Edit: Ich finde mich beantworten - Der Network Monitor Motor in zwei Teile unterteilt: die Erfassungsmaschine und das Parsing-Engine.
Die Capture-Engine ist ein Treiber, der mit der NDIS-Schnittstelle (Network Driver Interface Specification) zum Lesen von Rahmendaten verbunden ist. Es ist ein Systemtreiber, der automatisch unter Windows Vista installiert wird. Auf früheren Betriebssystemen ist der Capture-Treiber Teil des Systems.
Die Parsing-Engine befindet sich dagegen im Benutzermodus. Diese Engine verwendet NPL-Dateien (Network Monitor Parsing Language), um zu ermitteln, wie Rohdaten verarbeitet werden. Es filtert auch Frames.
Die API kann auf beide Teile der Engine zugreifen und Capture-Dateien speichern und laden.