更大的问题是一般如何使用实时ETW网络堆栈事件，但我对Microsoft-Windows-NDIS-PacketCapture提供程序特别感兴趣。所有其他网络堆栈提供程序部分工作，但NDIS-PacketCapture(NDIS-PC)根本不工作，所以这可能是我在这里可以问的最简单的问题。我使用下面的代码作为基础，并进行了很少的修改以使其实时工作:http://msdn.microsoft.com/en-us/library/windows/desktop/ee441325(v=vs.85).aspx我所做的更改是:在执行任何操作之前调用StartTrace启动NDIS-PCsessi

我正在编写一个WindowsNDIS过滤器驱动程序，并希望能够从内核内部查询有关tcp端口的状态(是否正在使用？)。当驱动程序处于IRQL=dispatch_level时，我可以使用WSK网络API或其他任何方式来查询操作系统是否正在使用端口吗？提前致谢! 最佳答案 据我所知，没有可见的(阅读:记录的)方法可以做到这一点。一种选择是使用GetTcpTable2，解析信息并将其发送到使用IOCTL的驱动程序。参见thisquestion例如，如何从用户模式执行此操作，您必须添加一些要处理的工作并将其发送给驱动程序。也可以通过不太可取的