จะหา WinPcap ในการควบคุมระบบได้ที่ไหน? (บน Windows 8.1 Pro 64 บิต)

11

ฉันจะหา WinPcap ในการควบคุมระบบได้ที่ไหนฉันคิดว่ามันทำงานเป็นบริการ แต่ดูเหมือนว่าฉันเข้าใจผิด

ฉันเริ่ม WinPcap ผ่านทางบรรทัดคำสั่ง (ที่มา ):

runas /u:administrator "net start npf"

ก่อนที่จะเริ่มต้น WinPcap Wireshark ไม่แสดงอินเทอร์เฟซการจับภาพใด ๆ และหลังจากนั้น ดังนั้นฉันคิดว่ามันกำลังทำงานอยู่ แต่ฉันไม่พบมันในรายการบริการของตัวจัดการงาน

ในการ จำกัด ผู้สมัครให้แคบลงฉันเปรียบเทียบบริการที่ใช้งานหลังจากเริ่มและหยุด WinCap แต่ไม่มีความแตกต่าง

ฉันจะยืนยันได้โดยตรงว่า "บริการ" นี้ทำงานบน Windows 8 ได้อย่างไร

C:\WINDOWS\system32>sc query "npf"

SERVICE_NAME: npf
        TYPE               : 1  KERNEL_DRIVER
        STATE              : 4  RUNNING
                                (STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
        WIN32_EXIT_CODE    : 0  (0x0)
        SERVICE_EXIT_CODE  : 0  (0x0)
        CHECKPOINT         : 0x0
        WAIT_HINT          : 0x0

ความลึกลับ :

sc queryรายการ 85 บริการ - ไม่มีซึ่ง "npf" - แต่sc query npfจะค้นหา

windows-8  winpcap 
Raffael
แหล่งที่มา

คำตอบ:

15

ใช่คุณมีสิทธิ WinPcap เป็นบริการ ( แต่ส่วนใหญ่คนขับรถ) NetGroup Packet Filter Driverชื่อ Windows Services Managerความจริงก็คือว่ามันไม่สามารถมองเห็นได้ใน

คุณสามารถค้นหาได้ในรีจิสทรีที่:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NPF

ไม่ได้ทดสอบ แต่ดูเหมือนว่าคุณสามารถเปลี่ยนวิธีการให้บริการเริ่มต้นได้ นำทางไปยังคีย์รีจิสทรีด้านบน แล้วคุณจะพบว่ามีมูลค่าการตั้งชื่อREG DWORD Startค่าคือ:

  • ค่า0x3: SERVICE_DEMAND_START
  • ค่า0x2: SERVICE_AUTO_START
  • ค่า0x1: SERVICE_SYSTEM_START

ในเอกสารพวกเขาบอกว่ามันใช้งานได้กับ Windows NTx เท่านั้น แต่ลองดูสิ! 0x2ในระบบของฉันมีการตั้งค่า

หากต้องการดูใน GUI ให้ข้ามไป (ฉันกำลังพูดถึงWindows7หวังว่าจะใช้งานได้Windows8):

  1. วิ่ง msinfo32.exe
  2. จากนั้นขยาย Software environment
  3. จากนั้นเลือก System Drivers

ที่นี่คุณสามารถรับสถานะการnpfให้บริการ (แต่ไม่สามารถโต้ตอบกับมันได้)

แก้ไข:

ฉันจะยืนยันได้โดยตรงว่า "บริการ" นี้ทำงานบน Windows 8 ได้อย่างไร

คุณสามารถใช้สิ่งนี้จากพรอมต์คำสั่งเพื่อตรวจสอบสถานะบริการ:

sc query "npf"

หรือสิ่งนี้เพื่อตรวจสอบเฉพาะถ้ามันกำลังทำงาน:

sc query "npf" | findstr RUNNING
or 
sc query "npf" | find "RUNNING"

แก้ไข 2:

Mysterious : sc queryแสดง 85 บริการ - ไม่มีบริการใด ๆ ที่เป็น "npf" - แต่ sc query npfจะค้นหาได้

ดูเหมือนว่าปกติ เกี่ยวกับเอกสารนี้เป็นวิธีการscทำงาน

ตามค่าเริ่มต้นSCจะแสดงเฉพาะบริการเท่านั้นไม่ใช่ไดรเวอร์ NPFเป็นไดรเวอร์มากกว่า

  • ในการรับไดรเวอร์ทั้งหมด: sc query type= driver(NPF จะปรากฏขึ้น)

  • ในการรับทั้งหมด (Services + Drivers): sc query type= all(NPF จะปรากฏขึ้นเช่นกัน)

user2196728
แหล่งที่มา
ไม่ถึงกับแย่ที่ไม่ได้ทำงานบน Win 8 ฉันสามารถแสดงอุปกรณ์ที่ซ่อนอยู่ แต่ไม่มีหมวดหมู่ "ไดรเวอร์ที่ไม่ใช่ปลั๊กแอนด์เพลย์" และไม่มีชื่ออุปกรณ์ตามที่คุณระบุ
Raffael
ตกลงฉันกำลังติดตั้ง Windows8 บน VM เพื่อดู :(
user2196728
@ Яaffaelฉันเห็นว่าคุณทำเครื่องหมายคำตอบนี้แล้ว! ในที่สุดคุณก็พบ GUI ที่ฉันพูดถึงใช่ไหม
user2196728
ไม่ไม่จริง แต่คุณให้ข้อมูลที่มีค่ามากมาย สิ่งที่ฉันอยากรู้คือ "ฉันจะดูบริการทั้งหมดที่กำลังทำงานอยู่ได้อย่างไร" ฉันสามารถยืนยันการใช้ npf ได้ แต่ถ้าฉันรู้ชื่อของมันเท่านั้น แปลกแฮะ, แปลกนะ, มันแปลก ๆ นะ. มันอยู่ในโฉนด btw ที่ระบุไว้ในรีจิสทรีตามที่คุณระบุไว้
Raffael
กรุณาดูที่ส่วนเพิ่มในตอนท้าย
Raffael
-1

หากคุณเรียกดูข้อความโต้ตอบ 'เรียกใช้' (ปุ่ม Windows + s ให้พิมพ์เรียกใช้สำหรับ windows 8.1+) และพิมพ์ 'msinfo32' ซึ่งจะเป็นการเปิดและกล่องโต้ตอบข้อมูลระบบขั้นสูง ขยาย 'สภาพแวดล้อมซอฟต์แวร์' จากนั้นเลือกไดรเวอร์ระบบ หากคุณคลิกที่ 'ชื่อ' หัวเรื่องมันจะเรียงลำดับตามลำดับและคุณควรพบ npf ปัจจุบันโดยมีสถานะอยู่ในคอลัมน์ทางด้านขวา

ข้อมูลที่รวบรวมได้จากที่นี่: http://www.winpcap.org/misc/faq.htm#Q-3ทดสอบบน Windows 8.1 และ Windows 10 Technical Preview

เจมส์เอฟ
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.