[Vadim Smirnov]

1) Are you trying to install on Vista x86 or x64?
2) Have you taken the correct drivers, INF files and snetcfg matching the OS (32 bit driver for x86, 64 bit for x64)? May be the problem in snetcfg tool if you have taken the original version from DDK instead the modified one we use.
3) Commands mentioned should be executed under Administrator account. You have mentioned that you tried, but I would recommend to recheck.
4) And the last, if you run WinpkFilter run-time installation does it install normally?

[Vadim Smirnov]

I did some searching around on the net and read that intermediate filter drivers like winpkfilter can break things like wake-on-lan.

Can you give some links on what you have found? Basically IM driver can break wake-on-lan if you want to do so, but WinpkFilter does not try to do it on purpose 8)

Also, is there any WinpkFilter application running when you go into standby? If there is then breaking wake-on-lan is possible because no packets can be processed by application which does not get any processor time.

[Vadim Smirnov]

I don’t think that there is a documented API/interface to do what you want, but probably you should be able to change the behaviour and view of visual elements (windows) by subclassing them with SetWindowsHookEx.

[Vadim Smirnov]

Тестовую версию LNM 2.2.3 можно посмотреть по ссылкам ниже (монитор и АПИ):

http://www.ntkernel.com/temp/NtTdiApiRt.zip
http://www.ntkernel.com/temp/LocalNetMonTrial.zip

Что нового:
1. Поддержка Висты.
Драйвера подписаны тестовым сертификатом, поэтому инсталлер монитора говорит, что поддержка Vista x64 экспериментальная и требует отключения проверки подписи. На специальной страничке предлагается сделать это автоматически.
2. Исправлен баг при обработки send’а (не send datagram,а имена send) для протокола UDP, который приводил к неправильному определению remote address’а.

Версия предварительная.

[Vadim Smirnov]

Ха, сделали пустышку что ли? которая по сути изменяет поле аттач, по которому как я понял и определячется, есть ли кто то присоединенный к стеку в висте.

Максимальный эффект при минимуме изменений в оттестированной кодовой базе. 8)

Вообще патч мажоров более универсальный способ, так как драйвер по сути можно загрузить в любой момент, никаких тебе проблем с нехваткой stack locations и жесткого порядка загрузки.

[Vadim Smirnov]

В общем-то тестовый вариант готов. Пошли обходным путем, приататчили девайсы к стеку (что заставляет систему вести трафик через TDI), но архитектуру (патч мажоров) менять не стали.

Думаю в понедельник можно будет посмотреть.

[Vadim Smirnov]

So, my question is – before you get IRP_MJ_CLEANUP on a file object, does the upper client cleans all handlers passed via TDI_SET_EVENT_HANDLER, by calling you via TDI_SET_EVENT_HANDLER with NULL parameters, for the SAME file object?

Basically this depends from TDI client. In your case you have to check AFD behavior if you suspect it causing the crash. Though the exact reason can be figured out only from the crash dump…

[Vadim Smirnov]

Тогда собственно новый вопрос, можете ли это сделать? Поддрежку висты. Если это возможно то мы купим этот драйвер. Можно канечно самим это сделать, но всеже в чужих сорцах копаться не очень хочется.

Мы тут посоветуемся с товарищами, если получится сделать это быстро и безболезненно, то сделаем.

[Vadim Smirnov]

Ну в общем все верно, первым делом всегда нужно смотреть что проходит по сети, а потом уже строить предположения 8)

Не смотрел те обертки, но в принципе почему бы и нет. Другое дело, что чужие баги ловить бывает намного сложнее чем свои…

[Vadim Smirnov]

on the other hand,Smile if my net traffice reach on 7mbps,can cause lose packet?

You loose packets ONLY if your application does not get processor time for some relatively large time interval.

because u had said:my app work in usermode. i want t deal with every packet, but it is still will be done in usermode not in the ring0.

please tell me System efficiency can Affected much more?

Of course Ring0 packet processing is more effective than Ring3 one, however most of the modern systems are powerful enough to afford packet processing in user mode even on high speed links.

by the way,when i use pkfilter, i found you alloc 1534 bytes for everypacket,why not 1514?

If you mean INTERMEDIATE_BUFFER structure then in addition to raw Ethernet frame it us used to keep some extra information about the packet (NDIS flags, direction and etc…)

[Vadim Smirnov]

can u tell me what’s the meaning for “500 packets”

WinpkFilter driver preallocates 500 buffers for packets (to avoid overhead from allocate/release operations).

in what situation,we need modi the value?

User mode WinpkFilter application usually is not the only application running on the system and it is possible that it won’t get processor time (to read packets from driver) during some time interval. During this time interval packets are stored in the driver preallocated buffers. Once application gets processor time it can read packets from the driver and process. If your application can be prevented from execution for large time intervals but still gets enough processor time to read and filter packets on the high speed network then you may need to increase the amount of preallocated packet buffers.

An example, real network throughput for 100 Mbit network is about 10 megabytes per second. The maximum size of the Ethernet frame is 1514 bytes. The simple calculation gives you approximately 7000 packet per second rate on 100 Mbit network. So if WinpkFilter application is prevented from execution for less than 500/7000 ~ 0.07sec time interval you won’t notice any packet loss.

[Vadim Smirnov]

Гм, полез смотреть, и правда, при использовании IoAttachDeviceXXX обратная совместимость с TDI-фильтрами по видимому сохраняется. Так что беру свое утверждение обратно. 8)

Другое дело, что если переносить LNM под Висту, то придется переделать его с патча мажоров на аттач к устройству. Разница невеликая конечно, но все же…

[Vadim Smirnov]

TDI_EVENT_DISCONNECT посылается, когда user-mode прога просит disconnect. Но до TDI_EVENT_DISCONNECT, должно быть несколько TDI_EVENT_RECEIVE, а ведь их вызывает драйвер TDI-протокола. Но почему тогда один раз?

А что собственно видит сетевой сниффер? Два дампа для сравнения в студию, один с сети, другой с клиента. И кстати ClientEventChainedReceive, ClientEventReceiveExpedited, ClientEventChainedReceiveExpedited пошли лесом? С каким статусом обработался ClientEventReceive?

А вообще, гадать по чему не работает код, которого ты никогда в жизни не видел можно долго… Советую поискать в сети что-то вроде оберток в виде сокетов или вспоиогательных функций вокруг TDI (от PCAUSA например, или те что в DriverStudio). TDI клиента написать это не пару функций вызвать, в свое время мне пришлось изрядно повозиться…

[Vadim Smirnov]

TDI клиентов писать не так уж просто, так что ошибка в драйвере – самое вероятное. Какая, это разбираться надо…

[Vadim Smirnov]

ЗЫ: вроде же в висте остался ТДИ уровень, да и фильтры там работают как нада. Если только аттач делать а не хук мажорных функций.

Отсался он там для обратной совместимости, но теперь через него не идет весь трафик.

[Author]

Posts