用驱动工具加载即可。

原来Windows获取封包数竟然用没有公开的方法。而且是直接取间隔封包数，而不是总数来-所以勾一下DeviceIoControl拦截
747D8347   |.  40               inc eax
747D8348   |.  56               push esi                              ; /pOverlapped
747D8349   |.  8943 0C          mov dword ptr ds:[ebx+C],eax          ; |
747D834C   |.  8943 04          mov dword ptr ds:[ebx+4],eax          ; |
747D834F   |.  8D85 18FDFFFF    lea eax,[local.186]                   ; |
747D8355   |.  50               push eax                              ; |pBytesReturned
747D8356   |.  68 D0020000      push 2D0                              ; |OutBufferSize = 2D0 (720.)
747D835B   |.  8D85 2CFDFFFF    lea eax,[local.181]                   ; |
747D8361   |.  50               push eax                              ; |OutBuffer
747D8362   |.  6A 3C            push 3C                               ; |InBufferSize = 3C (60.)
747D8364   |.  68 3C7D7E74      push NETSHELL.747E7D3C                ; |InBuffer = NETSHELL.747E7D3C
747D8369   |.  68 3E001700      push 17003E                           ; |IoControlCode = 17003E
747D836E   |.  57               push edi                              ; |hDevice
747D836F   |.  FF15 D8117774    call dword ptr ds:[<&KERNEL32.DeviceI>; \DeviceIoControl
747D8375   |.  8B35 68127774    mov esi,dword ptr ds:[<&KERNEL32.GetL>;  ntdll.RtlGetLastWin32Error

这个IOCTL Code ，改一下数据即可。


估计是这个意思，总之比写过滤驱动简单就对了。反正只说了不可以用GDI方法。 HOOK DeviceIoControl不犯法吧。
不管了

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

• 007_E02.rar （8.55kb，4次下载）
• show.gif （157.26kb，11次下载）