¿Dónde encontrar WinPcap en el control del sistema? (en Windows 8.1 Pro de 64 bits)

11

¿Dónde puedo encontrar WinPcap en el control del sistema? Supuse que se está ejecutando como un servicio, pero parece que estoy equivocado.

Inicié WinPcap a través de la línea de comando ( fuente ):

runas /u:administrator "net start npf"

Antes de iniciar WinPcap, Wireshark no mostraba ninguna interfaz de captura y luego lo hace. Así que supongo que se está ejecutando. Pero no puedo encontrarlo en la lista de servicios del administrador de tareas.

Para reducir los candidatos, comparé la ejecución de servicios después de iniciar y detener WinCap, pero no hay diferencia.

¿Cómo puedo confirmar directamente que este "servicio" se ejecuta en Windows 8?


C:\WINDOWS\system32>sc query "npf"

SERVICE_NAME: npf
        TYPE               : 1  KERNEL_DRIVER
        STATE              : 4  RUNNING
                                (STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
        WIN32_EXIT_CODE    : 0  (0x0)
        SERVICE_EXIT_CODE  : 0  (0x0)
        CHECKPOINT         : 0x0
        WAIT_HINT          : 0x0

MISTERIOSO :

sc queryenumera 85 servicios, ninguno de los cuales es "npf", pero sc query npflo encontrará.

Raffael
fuente

Respuestas:

15

Sí, tiene razón, WinPcap es un servicio (pero principalmente un controlador), llamado NetGroup Packet Filter Driver. El hecho es que no se puede ver en el Windows Services Manager.

Puede encontrarlo en el registro en:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NPF

No probado, pero parece que puede cambiar la forma en que se inicia el servicio. Navegue a la clave de registro anterior. Entonces encontrará un REG DWORDvalor llamado Start. Los valores son:

  • Valor 0x3: SERVICE_DEMAND_START
  • Valor 0x2: SERVICE_AUTO_START
  • Valor 0x1: SERVICE_SYSTEM_START

En el documento dicen que solo funciona en Windows NTx, ¡pero pruébalo! En mi sistema está configurado como 0x2.

Para verlo en una GUI, vaya a (estoy hablando Windows7, espero que funcione Windows8):

  1. correr msinfo32.exe
  2. Luego expandir Software environment
  3. Entonces escoge System Drivers

Aquí puede obtener el estado del npfservicio (pero no puede interactuar con él)


Editar:

¿Cómo puedo confirmar directamente que este "servicio" se ejecuta en Windows 8?

Puede usar esto desde el símbolo del sistema para verificar el estado del servicio:

sc query "npf"

o esto, para verificar específicamente si se está ejecutando:

sc query "npf" | findstr RUNNING
or 
sc query "npf" | find "RUNNING"

Edición 2:

Misterioso : sc queryenumera 85 servicios, ninguno de los cuales es "npf", pero sc query npflo encontrará.

Parece normal En cuanto al documento, esta es la forma en que scfunciona.

Por defecto, SCenumera solo servicios, no controladores. NPFEs más un conductor .

  • Para obtener todos los controladores: sc query type= driver(aparecerá NPF)

  • Para obtener todos (Servicios + Controladores): sc query type= all(también aparecerá NPF)

usuario2196728
fuente
no, para mal, eso no funciona en Win 8. Puedo mostrar dispositivos ocultos pero no hay una categoría de "controladores que no sean plug and play" y ningún dispositivo nombrado como usted indicó.
Raffael
Ok, en realidad estoy instalando Windows8 en una VM para echar un vistazo :(
user2196728
@ Яaffael ¡Veo que has marcado esto como respondido! ¿Finalmente encontraste la GUI de la que estaba hablando?
user2196728
no, realmente no. pero proporcionaste mucha información valiosa. esencialmente lo que me gustaría saber es "¿cómo puedo ver todos los servicios que se ejecutan actualmente?". Puedo confirmar la ejecución de npf, pero solo si sé su nombre. eso es raro. está en la escritura por cierto enumerada en el registro como usted indicó.
Raffael
Por favor, eche un vistazo a la sección agregada al final
Raffael
-1

Si navega hasta el cuadro de diálogo 'Ejecutar' (tecla de Windows + s, luego escriba ejecutar para Windows 8.1+) y escriba 'msinfo32', se abrirá un cuadro de diálogo de información del sistema avanzado. Expanda 'Entorno de software' y luego seleccione Controladores del sistema. Si hace clic en el encabezado 'nombre', los ordenará en orden y debería encontrar npf presente, con su estado en las columnas a la derecha.

Información obtenida desde aquí: http://www.winpcap.org/misc/faq.htm#Q-3 Probado en Windows 8.1 y Windows 10 Technical Preview.

James F
fuente