APIHooking Network snoop introduces the basics of building a network sniffer to pick up all information being sent using TCP socket via send and recv API, obviously, these will be the two APIs to hook to get information about data being sent/receiv

这个工具采用的是HOOK进程的winsock API，把一些数据记录下来。 2.1 patch静态文件，即运行前挂钩. 2.2 也是修改IAT，跟1.1一样. 2.3 修改目标函数的前几个字节，跳转到新的函数，但不再调用原始函数，无 实际意义，作者只是做演示？ 2.4 这种方法(3.2.3 保存原始函数)很COOL，其中的亮点和难点就是“获取任意 地址的指令长度”。 之前我也想用2.4这种办法，但卡在如何“获取任意地址的指令长度”上面了:(

基于WFP模型的网络防火墙设计实现 WFP（Windows Filter Platform）是为网络过滤应用开发平台提供支持的API和系统服务的集合。WFP允许开发者编写代码和操作系统的网络协议栈 交互。网络数据可以在到达目的地之前被过滤和修改。通过提供简单的开发平台，WFP被用于取代以前的TDI过滤，NDIS过滤，以及LSP（Winsock Layered Service ）。在Visita及以后的系统火墙钩子，过滤钩子驱动将不再适用。 -Mod