C:\WINDOWS\system32\drivers\npf.sys这个病毒怎么搞
答案:2 悬赏:0 手机版
解决时间 2021-03-05 15:53
- 提问者网友:太高姿态
- 2021-03-04 18:54
C:\WINDOWS\system32\drivers\npf.sys这个病毒怎么搞
最佳答案
- 五星知识达人网友:低血压的长颈鹿
- 2021-03-04 20:19
进程位置: system32\drivers程序名称:程序用途: wincap的一个驱动
进程分析: WinPcap是WIN32平台上的网络分析和捕获数据包的链接库。WinPcap的NPF.SYS驱动实现上存在漏洞,本地攻击者可能利用此漏洞提升自己的权限。
NPF.SYS驱动没有对传送给IOCTL 9031(BIOCGSTATS)的中断请求报文(IRP)参数执行充分的验证,如果向这个IOCTL发送了恶意参数,就可能导致覆盖任意内核内存。在默认安装中,只有在管理员使用了依赖于WinPcap的应用程序并初始化WinPcap时才会加载有漏洞的驱动。一旦加载,普通用户也可访问有漏洞的驱动,且在程序退出时也不会卸载驱动,除非手动卸载,否则攻击者仍可访问。 如果在安装时选择了允许普通用户访问选项,攻击者就可以访问有漏洞的驱动,利用这个漏洞以内核权限执行任意指令。
处理:删除它可能会对部分网络应用程序造成影响。 追问: 可我没下wincap啊? 回答: 很多软件要用到wincap,可能是你安装其他软件时,那个软件安装上的。 补充: 你要是不放心,可以把那个文件提交到这个网站在线扫描一下,
进程分析: WinPcap是WIN32平台上的网络分析和捕获数据包的链接库。WinPcap的NPF.SYS驱动实现上存在漏洞,本地攻击者可能利用此漏洞提升自己的权限。
NPF.SYS驱动没有对传送给IOCTL 9031(BIOCGSTATS)的中断请求报文(IRP)参数执行充分的验证,如果向这个IOCTL发送了恶意参数,就可能导致覆盖任意内核内存。在默认安装中,只有在管理员使用了依赖于WinPcap的应用程序并初始化WinPcap时才会加载有漏洞的驱动。一旦加载,普通用户也可访问有漏洞的驱动,且在程序退出时也不会卸载驱动,除非手动卸载,否则攻击者仍可访问。 如果在安装时选择了允许普通用户访问选项,攻击者就可以访问有漏洞的驱动,利用这个漏洞以内核权限执行任意指令。
处理:删除它可能会对部分网络应用程序造成影响。 追问: 可我没下wincap啊? 回答: 很多软件要用到wincap,可能是你安装其他软件时,那个软件安装上的。 补充: 你要是不放心,可以把那个文件提交到这个网站在线扫描一下,
全部回答
- 1楼网友:往事埋风中
- 2021-03-04 21:10
不是病毒,不过是不是病毒伪装成的就不清楚了。
npf.sys
进程文件: npf 或 npf.sys
进程位置: system32\drivers
程序名称:
程序用途: wincap的一个驱动
进程分析: winpcap是win32平台上的网络分析和捕获数据包的链接库。winpcap的npf.sys驱动实现上存在漏洞,本地攻击者可能利用此漏洞提升自己的权限。
npf.sys驱动没有对传送给ioctl 9031(biocgstats)的中断请求报文(irp)参数执行充分的验证,如果向这个ioctl发送了恶意参数,就可能导致覆盖任意内核内存。在默认安装中,只有在管理员使用了依赖于winpcap的应用程序并初始化winpcap时才会加载有漏洞的驱动。一旦加载,普通用户也可访问有漏洞的驱动,且在程序退出时也不会卸载驱动,除非手动卸载,否则攻击者仍可访问。 如果在安装时选择了允许普通用户访问选项,攻击者就可以访问有漏洞的驱动,利用这个漏洞以内核权限执行任意指令。
处理:删除它可能会对部分网络应用程序造成影响。
我要举报
如以上回答内容为低俗、色情、不良、暴力、侵权、涉及违法等信息,可以点下面链接进行举报!
点此我要举报以上问答信息
大家都在看
推荐资讯