一种在驱动层判断TCP/IP包所属进程的方法

专利申请号：CN201010188864.2

公 开 号：CN101895529A

发 明 人：郑明 

代 理 人：施浩

代理机构：31100 上海专利商标事务所有限公司

专利类型：发明专利

申 请 日：20101124

公 开 日：20100531

专利主分类号：H04L29/06(20060101)

关 键 词：进程 分层服务 过滤驱动 中间层驱动 关联表 源端口 网络驱动接口规范 感兴趣 进程标识号 专用地址 加载 套接 丢弃 协议 

摘      要：本发明公开了一种在驱动层判断TCP/IP包所属进程的方法，能够实现在NDIS过滤驱动中准确区分包所属的进程。其技术方案为：方法包括：当某一程序使用Windows套接字接口时，通过某一进程加载分层服务提供者；分层服务提供者获知该进程的标识号以及该进程打开的源端口；分层服务提供者根据该进程的标识号判断是否是感兴趣的进程，如果是感兴趣的进程，则向一个专用地址和端口发送UDP通知包；网络驱动接口规范的中间层驱动/过滤驱动收到UDP通知包，从中提取进程标识号、进程使用的协议、进程打开的源端口，并保存为关联表，然后丢弃UDP通知包；当该中间层驱动/过滤驱动收到本机发出的其他TCP/IP包时，判断该TCP/IP包中是否包含与关联表中的内容一致的信息，并据此确定TCP/IP包所属的进程的标识号。