工程选择

最近要做Windows网络过滤，所以找了下微软有关wfp的sample来进行学习，于是就找到了msnmntr这个工程，它在微软sample中的Windows-driver-samples-master\network\trans\msnmntr路径下。

驱动编译和安装

使用VS2015打开工程，直接可以编译驱动，编完驱动后，会生成如下文件：

安装的时候不要在设备管理器安装，那样是安装不上的，会提示如下：

其实安装只需右击INF文件，点击安装即可，注：如果是64位系统需要对驱动进行签名，或者自己手动禁用驱动强制签名，也可以将系统设置为测试模式。

部署和测试

（1）编译工程生成monitor.exe；

（2）拷贝驱动的pdb文件到测试机里面，例如C:\symbols;

（3）拷贝traceview.exe到测试机里面，一般在wdk安装目录下，例如：C:\Program Files (x86)\Windows Kits\10\Tools\x86下，该工具主要是查看监控应用程序的一些事件之类的；

（4）开启msnmntr服务，使用管理员权限打开cmd，输入net start msnmntr;

（5）在命令行运行monitor.exe addcallouts如下:

（6）选择一个程序监控，例如chrome.exe:

（7）打开Traceview，选择File->create new log session

在弹出的界面上选择Add provider，接下来设置拷贝进来的msnmntr.pdb文件，如下：

然后OK直到完成。

（8）打开chrome浏览器，我们就能在traceview中看到一些监控信息了。