kernel - 希望在有人删除我的过滤器时收到通知
问题描述
我有 WFP 驱动程序,我在其中过滤网络事件,使用 FwpmFilterAdd 添加过滤器,但某人/应用程序可能会使用 FwpmFilterDeleteByKey0 删除我的过滤器。我想收到有关我的过滤器删除的通知。可以做到吗?
我可以看到有用于用户模式跟踪 FwpmFilterSubscribeChanges0 的 API,但没有找到内核模式
解决方案
经过对 msdn 的大量研究,我发现 FWPS_CALLOUT0_ 成员 NotifyFN 可以帮助我们获取过滤器添加/删除通知。