пишу секюрити продукт на базе TDI фильтра. заметил одну интересную особенность — исходящий трафик
проходит через обработчик TDI_SEND, так его легко получить из IRP. со входящими данными посложнее —
в обработке участвуют в той или иной мере TDI_RECEIVE, ReceiveCallback и ChainedReceiveCallback поочередно
(это не считая expedited трафика, о нем разговор отдельный). у меня два вопроса:
1) кого из них нужно перехватывать для полного анализа входящего трафика
2) есть ли четкая закономерность, как HTTP траффик распеределен по трем данным обработчикам, или
это когда как.
кроме того, слышал, в Висте и Семерке TDI не всегда корретно работчват, лучше юзать NPI/WFP, хотя
первый не документировани, а второй имеет ряд серьезный багов, особенно в семерке. стоит ли работать с NPI/WFP?
