Onde encontrar o WinPcap no controle do sistema? (no Windows 8.1 Pro 64 bits)

Navegue suas respostas
8

Onde posso encontrar WinPcap no controle do sistema, eu assumi que está sendo executado como um serviço, mas parece que estou enganado.

Eu iniciei o WinPcap via linha de comando ( source ): 

runas /u:administrator "net start npf"

Antes de iniciar o WinPcap, o Wireshark não mostrou nenhuma interface de captura e, posteriormente, o faz. Então eu suponho que está sendo executado. Mas não consigo encontrá-lo na lista de serviços do gerenciador de tarefas.

Para diminuir os candidatos, comparei os serviços em execução depois de iniciar e parar o WinCap, mas não há diferença.

Como posso confirmar diretamente que este "serviço" está sendo executado no Windows 8? 

C:\WINDOWS\system32>sc query "npf"

SERVICE_NAME: npf
        TYPE               : 1  KERNEL_DRIVER
        STATE              : 4  RUNNING
                                (STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
        WIN32_EXIT_CODE    : 0  (0x0)
        SERVICE_EXIT_CODE  : 0  (0x0)
        CHECKPOINT         : 0x0
        WAIT_HINT          : 0x0

MISTERIOSO :

sc query lista 85 serviços - nenhum deles é "npf" - mas sc query npf o encontrará.

    
por Raffael 05.01.2014 / 14:37

2 respostas

13

Sim, você está certo, WinPcap é um serviço (mas principalmente um driver), chamado NetGroup Packet Filter Driver . O fato é que não pode ser visto no Windows Services Manager .

Você pode encontrá-lo no registro em: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NPF

Não testado, mas parece que você pode alterar a maneira como o serviço é iniciado. Navegue até a chave do registro acima. Em seguida, você encontrará um valor REG DWORD denominado Start . Os valores são:

  • Valor 0x3 : SERVICE_DEMAND_START
  • Valor 0x2 : SERVICE_AUTO_START
  • Valor 0x1 : SERVICE_SYSTEM_START

No documento, eles dizem que funciona apenas no Windows NTx, mas experimente! No meu sistema, ele está definido como 0x2 .

Para visualizá-lo em uma GUI, vá em frente (estou falando de Windows7 , espero que funcione em Windows8 ):

  1. Executar msinfo32.exe
  2. Em seguida, expanda Software environment
  3. Em seguida, escolha System Drivers

Aqui você pode obter o status de npf service (mas não pode interagir com ele)

Editar:

How can I directly confirm that this "service" is running on Windows 8?

Você pode usar isso no prompt de comando para verificar o estado do serviço: 

sc query "npf"

ou isto, para verificar especificamente se está em execução: 

sc query "npf" | findstr RUNNING
or 
sc query "npf" | find "RUNNING"

Editar 2:

Mysterious : sc query lists 85 services - none of which is "npf" - but sc query npf will find it.

Parece normal. Sobre o documento , esse é o jeito que o sc funciona.

Por padrão, SC lista apenas serviços, não drivers. NPF é mais um driver .

  • Para obter todos os drivers: sc query type= driver (o NPF será exibido)

  • Para obter tudo (Serviços + Drivers): sc query type= all (NPF será aparece também)

por 05.01.2014 / 17:09
-1

Se você navegar para a caixa de diálogo 'Executar' (tecla Windows + s, digite executar para windows 8.1+) e digite 'msinfo32', isso abrirá uma caixa de diálogo avançada de informações do sistema. Expanda 'Ambiente de software' e selecione Drivers do sistema. Se você clicar no cabeçalho 'name', ele irá ordená-los em ordem e você deverá encontrar o npf present, com seu status nas colunas à direita.

Informações obtidas a partir daqui: link Testado no Windows 8.1 e no Windows 10 Technical Preview.

    
por 12.01.2015 / 00:57

Tags

É possível fazer com que o Outlook 2011 exiba sempre o endereço de e-mail e não o nome do contato? Saída do Linux lsblk