一玩 VS 对战平台的同学有一次发现了一个可以踢人的方法，就是用 TcpView 把那个连
接关掉。后来VS 平台封掉了这个程序，只要一打开TcpView就会被 VS 关掉。于是我萌生了
自己做个 TcpView的想法。
 Tcpview是Winternals公司 Sysinternals 系列工具之一，尽管大部分这些工具网上都
有源代码，唯独没有找到TcpView的源代码。能找到的其实只是个命令行下的一个很简易的
Tcpview。现在的目标就是尽量模拟一个界面版的Tcpview。
  这个程序主要的功能就是显示系统中当前的TCP和UDP 连接信息，包括本地地址、端口，
远程地址、端口，连接状态，所属进程等，以及这些连接的上传、下载的数据量，并且可以
断开 TCP 连接。我还添加了一个功能，显示远程地址对应的物理地址。程序使用VC 6.0 MFC
的单文档开发，主界面是个ListView。  

在该程序中获取 TCP 连接用的是 GetExtendedTcpTable 函数，获取 UDP 连接用的是
GetExtendedUdpTable函数，断开一个TCP 连接用的是 SetTcpEntry。其实这些信息通过调
试 Tcpview都能发现，不过关于如何获取上传下载流量，我真的没弄出来它到底是怎么实现
的（OD 水平太菜了）。但是经过测试，Tcpview 中包含的一个驱动并没有用到，因为任何工
具都没有检测到有驱动加载。希望有高手可以指点一下！

于是，我只好自己用原始套接字实现了，可惜唯一的缺陷是不能获取回环地址通信时的
流量。比如，我本地开了FTP 服务器，然后用127.0.0.1连接上去传输文件，此时是无法截
获到数据包的。关于这一点，我在网上查到的资料说是在Windows下原始套接字是无法办到
的，甚至 Winpcap包也不可以，要捕获的话可以用SPI或是API Hook。

 
具体实现
 
下面介绍实现的细节。由于GetExtendedUdpTable与GetExtendedTcpTable的用法非常
相似，故这里只介绍GetExtendedTcpTable的用法。  
GetExtendedTcpTable函数在 SDK 中没有，所以要自己定义。
typedef DWORD (WINAPI *PFNGetExtendedTcpTable)(
     __out         PVOID pTcpTable, //返回查询结构体指针
     __in_out      PDWORD pdwSize, //第一次调用该参数会返回所需要的
缓冲区大小
     __in          BOOL bOrder, //是否排序
     __in          ULONG ulAf, //是 AF_INET还是AF_INET6
     __in          TCP_TABLE_CLASS TableClass, // 表示结构体的种类，
此处设为 TCP_TABLE_OWNER_PID_ALL
     __in          ULONG Reserved //保留不用，设为 0
);
 pTcpTable 其实是一个指向 MIB_TCPTABLE_OWNER_PID 类型的指针。
MIB_TCPTABLE_OWNER_PID结构定义如下：
typedef struct _MIB_TCPTABLE_OWNER_PID
{
    DWORD                dwNumEntries;
    MIB_TCPROW_OWNER_PID table[ANY_SIZE];
} MIBTCPTABLEOWNERPID, *PMIBTCPTABLEOWNERPID;

 dwNumEntries表示 MIB_TCPROW_OWNER_PID结构的数目，每个该结构指定一个TCP 连接
的信息。ANY_SIZE 的值被定义为1，可以理解为 table 是 MIB_TCPROW_OWNER_PID 结构体数
组的首地址，这样我们可以任意地访问每个数组的成员。这种定义方式就好比一列火车，告
诉你车厢数以及火车头的地址，我们就可以得到每节车厢的地址。再来看
MIB_TCPROW_OWNER_PID的定义：

介绍完相关的数据结构就可以来使用该函数了。这里是我程序
typedef struct _MIB_TCPROW_OWNER_PID
{
    DWORD       dwState;//连接状态
    DWORD       dwLocalAddr;//本地 IP地址
    DWORD       dwLocalPort;//本地端口
    DWORD       dwRemoteAddr;//远程 IP 地址
    DWORD       dwRemotePort;//远程端口