Мониторинг данных в драйвере

[AlexCasual]

Как лучше решить следующую проблему? - имеется драйвер фильтр сетевого траффика,который отслеживает всю передаваемую в сеть (Интернет) информацию - как собрать и сохранить отслеживаемые данные? - Выделять память под очередной пакет данных? Но ведь так может и вся память в один прекрасный момент закончиться) -Сбрасывать в файл? - Но не будет ли проблем с уронями IRQL и т.п,т.к. данные будут сбрасываться в фильтре и в том числе из CompletionRoutine()?

Как вообще происходит накопление данных в таких фильтрах и как они потом передаются в userMode?

[zubr]

Если данные надо только отслеживать, но не фильтровать, имхо, лучше всего их передавать в юзермодное приложение через PIO_STACK_LOCATION (IoGetCurrentIrpStackLocation). И в приложении уже обрабатывать.

[Ochkarik]

отдельными пакетами - тяжко наверное машине будет. лучше буферизировать в драйвере по объему + по таймауту.
потом, либо формировать поток IRP от приложения, и завершать их по мере наполнения буфера на отдачу, либо через кольцевой буфер и Event, либо может через APC.
если в файл - то тоже можно, но не напрямую а в отложенном варианте... через дополнительно запущенную системную нитку.

[AlexCasual]

Буферизация пакетов пугает тем,что будет значительно тратиться память...

[AlexCasual]

Возник следующий вопрос - в функции AddDevice() создаю поток,в котором просто вывожу тестовую строку :

Код:

...
NTSTATUS ntStatus  = STATUS_UNSUCCESSFUL;
PVOID    pThreadOb = NULL; 
HANDLE hThread;

ntStatus = PsCreateSystemThread(&hThread,THREAD_ALL_ACCESS,0,0,0,ControlRoutine,DeviceObject);
	
if(NT_SUCCESS( ntStatus ))
 {
	ObReferenceObjectByHandle(hThread, THREAD_ALL_ACCESS, NULL, KernelMode, &pThreadOb, NULL );
	ZwClose(hThread);
 }
...
VOID ControlRoutine( __in PVOID Context )
{
    while(1)
    {
	DebugPrint((" ControlRoutine \n"));
    }
}
...

При этом в DebugView наблюдаю только вывод "ControlRoutine",никакая другая отладочная информация не выводится (из других критических мест в драйвере) и всё жутко виснет...
Я подозреваю,что в этом случае созданный системный поток просто напросто не вытесняется - так ли это и почему?

[Ochkarik]

я просто под столом валяюсь))))))
вывод DebugPrint в вечном цикле... а какого эффекта вы собственно хотели достичь?)))) ну кроме того чтобы переполнить отладочный буфер и загрузить процессор?
ну хоть какой нить sleep вставьте!

Добавлено через 3 минуты и 56 секунд:
PS вот этот участок кода меня кстати немного смущает.... вы ничего тут не пропустили?))))

Код: (C)

ntStatus = PsCreateSystemThread(...);
if (NT_SUCCESS( ntStatus ))
{
        ZwClose(...);
}

[sss]

вывод DebugPrint в вечном цикле...

Блин заинтересовал. Главное ведь не увидишь в диспетчере задач где тормоза! Или увидишь?

[Ochkarik]

фиг знает, думаю  загрузку ядра 100% должен показывать. или поделит на количество ядер...

[zubr]

Загрузку на system покажет.