观望~~~~~

看了最早的那个NtDeviceIoControl说法，居然是外国人干的。
从某年某月某日，某某不小心少说了file四个字开始，世界混乱了~~

这位老兄貌似不像有6年相关经验的，貌似是搞Linux下的设备驱动的？

有可能是开发智慧星操作系统设备驱动的

学习...果然是高手！

终于照猫画虎地弄出来个，学到很多，谢谢。

收下了

谢谢楼主和木桩了!!!!

学习了,顶一个

不知道为什么截TCP的recv长度总是很长，1024、60000都有可能，这是和被截程序有关？send倒是正常

recv的长度不是返回数据的长度，而是ring3申请的存放返回数据的BUFFER的长度

如果需要获得RECV的返回数据长度，再调用完原始的NtDeviceIoControlFile后，取IoStatusBlock->Information

经典，不得不佩服

学习，感谢楼主分享

真的黑强给。。受不了~~~

好啊，谢谢，学习了

很好很强大，学习中...

请教.
如何才能收到UDP的包啊.
加了recvfrom的判断了, 也进不来.

尝试加的判断.

1, 加宏
#define AFD_RECVFROM (0x0001201B)
#define AFD_SENDTO (0x00012023)
2, NewNtDeviceIoControlFile中
        if (IoControlCode != AFD_SEND
                && IoControlCode != AFD_RECV
                && IoControlCode != AFD_RECVFROM
                && IoControlCode != AFD_SENDTO)
        {
                return stat ;
        }
然后下面
                case AFD_RECVFROM:
                        {
                                sprintf(g_Info, "RecvFrom Handle 0x%08x", FileHandle);
                                OutputDebugString(g_Info);
                        }
                        break;

怎么也走不到, 坛中哪位大牛指点一下, 应该修改哪个地方

这个对overlapped io之类的也有效? IE只是使用了non block io，所以不会有recv收不到数据的情况（这次收不到，下次它还发recv）。如果设定了overlapped io，recv可能不会立即完成，mswsock也不会再去recv，会通过apc的方式得到通知。

对于OVERLAPPED要特别处理~

呵呵，这个就是麻烦的地方了。还是写spi，或者tdi filter才能最好的处理。

呵呵hook getoverlappedresult之类就可以了~
spi和tdi filter一样有问题

hook tdi clietn一样也不错~

如果用iocp，或者用completion做overlapped的通知方式，你就没法用hook getoverlappedresult了。

completion的话钩completion 也可以啊~总之钩子都能做到了~

好文，会忒以撒后藏

谢谢共享！！！！！