TDImon

Здравствуйте, SerpentFly.

SerpentFly:
Если писать аналог TDIMon, то надо патчить таблицу мажоров TCPIP.SYS. Но это конечно если именно аналог, а так можно и через AttachDevice.

– ОК ну ее эту таблицу :-), если можно не патчить – то обойдемся. (хотя если патчить наверняка будет меньше проблем с Unload).

SerpentFly:
Перехватывать регистрацию event’ов и менять указатели на свои…
-глупый вопрос а как?

P.S. Второй раз пишу на Вашем форуме, как сделать, чтобы в Subject были русские буквы?

Привет,GeN.

не могу не гыгыкнуть 😉
гы гы
кто тут вообще ХОЧЕТ написать TdiMon ? ;-)))

-ты перепутал “хочет” и “может”. Очевидно, я – пока не могу – и поэтому, собираю информацию, ссылки типа MSDN, DDK, IFS и я сам могу рекомендовать. Более того, врядли в данных авторитетных источника есть информация о том как “патчить” таблицы вызовов функций.

Ну, вообще тебе нужно посмотреть на TDI_SET_EVENT_HANDLER
А так же всю другую инфу по TDI из MSDN.[/quote]

– не знаю можешь ли ты написать TDImon, но на вскидку, через TDI_SET_EVENT_HANDLER можно зарегистрировать клиентские callback и этот метод применим к способу Attach, а не patch.

– Оба метода и patch и attach очень близки по реализации. И обработка event handler в них проводится аналогично.

ОК. Гуру виднее, поправте, если я не прав.
После того, как мы приаттачились к целевому устройству, к нам приходят все его пакеты, при запросе Major=IRP_INTERNAL_DEVICE_CONTROL
Minor=TDI_SET_EVENT_HANDLER
из клиентского приложения будет передан адрес обработчика, мы его запоминаем, а вниз передаем адрес своего обработчика.

При методе “патч” необходимо вместо обработчика скажем
TdiRegisterNetAddress записать свой. А обработчики, видимо, ставятся с помощью TdiBuildSetEventHandler.

Под словом “анологично” Вы подразумевали необходимость замены адресов. Или я вообще нагнал? Поправте, если не трудно.