Pcap

Какие программы могут использовать библиотеку

Следующие утилиты могут использовать данную библиотеку, чтобы работать с ней:


  • WireShark — захватывает и анализирует трафик;
  • Snort — обнаруживает сетевые атаки;
  • The Bro IDS — обычный анализатор сети;
  • URL Snooper. Служит для выявления адресов видео и аудио файлов, для последующей их записи.

В приложения и устройства, которые работают с WinPcap, входят маршрутизаторы, сетевые сканеры, регистраторы трафика, сетевые мониторы, разные средства безопасности.

Внимание! Если пользователь обнаружил у себя WinPcap на рабочем компьютере, то лучше всего обратиться к системному администратору. Самому ее лучше не трогать особенно на офисном компьютере

Для домашних ПК можно использовать стандартную процедуру удаления.

Как работает программа WinPcap

Сервер в самом начале рассчитан на работу С++. Если применяются другие языки, то тогда необходимо воспользоваться дополнительными настройками или откорректировать приложение.

Утилиты могут быть написаны в соответствии с каждым отдельным языком. Библиотека приложения в разных операционных системах называется по-разному. Для операционной системы Windows у нее название WinPcap.

Ее используют для того, чтобы отслеживать и заниматься мониторингом пакетов информации, которая поступает каждую минуту.

Работа с сетевым трафиком

Эта утилита также имеет возможность работать с сетевым трафиком, отслеживает и анализирует информацию. Она имеет свои особенности в том случае, когда она написана на разных программных языках. Это не является ее недостатком. Просто это необходимо учитывать тем пользователям, которые запускают этот софт.

Работа с драйверами

Сервер включает в себя драйвера операционной системы Windows. Это способствует очищению пакетной информации. Вся информация откладывается на сетевой карте.

Самое главное запомнить, что эта программа не является вредоносной, и система будет находиться в безопасности, если загрузить это приложение себе на ПК. Есть возможность работать сетевым картам в гибридном режиме.

Как удалить WinPcap с компьютера полностью?


Для удаления вы можете использовать продвинутую программу Revo Uninstaller, которая удаляет не только программу но и весь мусор после нее. Ну это так, как хотите, мое дело предложить

Ну а в самой Windows удалить легко — нажимаете на Пуск, выбираете Панель управления:

Потом находим значок Программы и компоненты:

И в списке установленных программ смотрим, где там стоит WinPcap, находим его и нажимаем правой кнопкой, где выбираем Удалить:

Дальше появится окошко, там нажимаем кнопку Uninstall:

И WinPcap удалится просто мгновенно, о чем будет написано в следующем окошке:

Вот и все, WinPcap удален с компа вашего. Надеюсь что я нормально все тут написал и вам все понятно о программе WinPcap? Мне теперь осталось пожелать вам удачи

Build the documentation offline¶

The Scapy project’s documentation is written using reStructuredText (files *.rst) and can be built using the Sphinx python library. The official online version is available on readthedocs.

HTML version

The instructions to build the HTML version are:

(activate a virtualenv)
pip install sphinx
cd doc/scapy
make html

You can now open the resulting HTML file in your favorite web browser.

To use the ReadTheDocs’ template, you will have to install the corresponding theme with:

pip install sphinx_rtd_theme

UML diagram

Using you can build a UML representation of the Scapy source code’s object hierarchy. Here is an example of how to build the inheritance graph for the Fields objects :

(activate a virtualenv)
pip install pylint
cd scapy/
pyreverse -o png -p fields scapy/fields.py

This will generate a picture containing the inheritance hierarchy. Note that you can provide as many modules or packages as you want, but the result will quickly get unreadable.

To see the dependencies between the DHCP layer and the ansmachine module, you can run:

pyreverse -o png -p dhcp_ans scapy/ansmachine.py scapy/layers/dhcp.py scapy/packet.py

In this case, Pyreverse will also generate a showing the link between the different python modules provided.

pcap libraries for Windows

While libpcap was originally developed for Unix-like operating systems, a successful port for Windows was made, called WinPcap. It has been unmaintained since 2013, and several competing forks have been released with new features and support for newer versions of Windows.

WinPcap

WinPcap consists of:

  • x86 and x86-64 drivers for the Windows NT family (Windows NT 4.0, , XP, Server 2003, Vista, , , and ), which use Network Driver Interface Specification (NDIS) 5.x to read packets directly from a network adapter;
  • implementations of a lower-level library for the listed operating systems, to communicate with those drivers;
  • a port of libpcap that uses the API offered by the low-level library implementations.

Programmers at the Politecnico di Torino wrote the original code; as of 2008 CACE Technologies, a company set up by some of the WinPcap developers, developed and maintained the product. CACE was acquired by Riverbed Technology on October 21, 2010.

Because WinPcap uses the older NDIS 5.x APIs, it does not work on some builds of Windows 10, which have deprecated or removed those APIs in favor of the newer NDIS 6.x APIs. It also forces some limitations such as being unable to capture 802.1Q VLAN tags in Ethernet headers.

Npcap

Npcap is the Nmap Project’s packet sniffing library for Windows. It is based on the Winpcap / Libpcap libraries, but with improved speed, portability, security, and efficiency. Npcap offers:

  • NDIS 6 Support: Npcap makes use of new NDIS 6 Light-Weight Filter (LWF) API in Windows Vista and later (the legacy driver is used on XP). It’s faster than the deprecated NDIS 5 API.
  • Latest libpcap API Support: Npcap provides support for the latest libpcap API by accepting libpcap as a Git submodule. The latest libpcap 1.8.0 has integrated more fascinating features and functions than the deprecated libpcap 1.0.0 shipped by WinPcap. Moreover, since Linux already has a good support for latest libpcap API, using Npcap on Windows facilitates software to base on the same API on both Windows and Linux.
  • Extra Security: Npcap can be restricted so that only Administrators can sniff packets. Non-Admin user will have to pass a User Account Control (UAC) dialog to utilize the driver. This is conceptually similar to UNIX, where root access is generally required to capture packets. The driver also has Windows ASLR and security features enabled.
  • WinPcap compatibility: If selected, Npcap will use the WinPcap-style DLL directories (“c:\Windows\System32”) and service name (“npf”), allowing software built with WinPcap in mind to transparently use Npcap instead. If compatibility mode is not selected, Npcap is installed in a different location with a different service name so that both drivers can coexist on the same system.
  • Loopback Packet Capture: Npcap is able to sniff loopback packets (transmissions between services on the same machine) by using the Windows Filtering Platform (WFP). After installation, Npcap will create an adapter named Npcap Loopback Adapter.
  • Loopback Packet Injection: Npcap is also able to send loopback packets using the Winsock Kernel (WSK) technique.
  • Raw 802.11 Packet Capture: Npcap is able to see 802.11 packets instead of fake Ethernet packets on ordinary wireless adapters.

Win10Pcap

Win10Pcap implementation is also based on the NDIS 6 driver model and works stably with Windows 10.

As of 2020, the project has however been inactive since 2016.

Для чего используют программу WinPcap и как она попадает в систему

WinPcap – это приложение рассчитанное на программистов и системных администраторов. Она является низкоуровневой библиотекой. Позволяет взаимодействовать с драйверами сетевых интерфейсов.

Это утилита посредник. С помощью программы пользователь может захватывать и передавать протоколы сетей мимо стека протоколов. А также с ее помощью тестируют сети, ведут анализ сетевых протоколов и трафик.

Поэтому если пользователь получивший ее не относится к числу людей работающих в IT–разработках, то смело может удалять приложение.

Например, с помощью WinPcap можно установить драйвера для утилиты, отслеживающей трафик, под названием WireShark.

Что умеет делать ВинпКап:

  1. Работать в виде приложения, перехватывающего трафик.
  2. Определять вторжения вирусов и других пользователей в локальные сети.
  3. Фильтровать пакеты на уровне ядра.
  4. Устранять неполадки в сети.

Для работы требуется знание английского языка и понимание кода написанного на языке С, помимо знания основ сетевых протоколов.

Что это за программа WinPcap и нужна ли она?

WinPcap является основой для такого софта, и без нее никак они работать не будут. Поэтому с одной стороны WinPcap это программа, а с другой это компонент, который необходим для других программ. Например известная в узком кругу программа Wireshark для слежки за трафиком, такие программы называются снифферами. Компонент WinPcap позволяет смотреть что и кому шлют, ну это если очень образно сказать

WinPcap устанавливает в Windows свой драйвер, который и используют другие программы. Именно драйвер позволяет работать сетевому интерфейсу WinPcap надежно и четко.


WinPcap сидит в такой папке как:

C:Program Files (x86)WinPcap

Там присутствует три файла, это лог, консольный компонент управления и Uninstall.exe, который служит для деинсталляции программы.

Почему у вас установлен WinPcap? Тут есть несколько версий, возможно что ваш компьютер является рабочим и данное ПО уже было установлено, соответственно его удалять не нужно. Также некоторые программы могут в автоматическом режиме скачать и установить WinPcap, так как это просто необходимо для их работы.

Интересно то, что поддерживается работа даже в Windows 95, 98, конечно я не уверен что работает там все прям уж отлично, но тем не менее такое заявление от разработчиков есть.

Среди минусов — не все сетевое оборудование может нормально подружится с драйвером WinPcap, особенно это или очень древние устройство или самое современно и навороченное

Вообще ничего не понятно? Ну давайте, я попробую еще проще. WinPcap это такая штука, через которую проходит сеть, в которой может идти как просто сеть между компами так и интернет. Данная сеть — это пакеты, которые передаются между компьютерами, вот именно эти пакеты может перехватывать WinPcap и давать какой-то программе, которая уже будет что-то с ними там делать. Ну как-то так, надеюсь уже точно понятно

То есть, если для вас это все незнакомо и вы никаким специальным сетевым софтом не пользуетесь, то возможно что WinPcap стоит удалить? Но опять же, а если какой-то проге он нужен? Обычно Офису, играм, самой Windows, браузерам, в общем обычному софту WinPcap и близко не нужен. Это только для сетевого софта, которым еще нужно уметь пользоваться. Некоторые хакерские утилиты требуют наличия в системе WinPcap.

Additional Documentation

For additional and up-to-date documentation, we suggest that you look at  http://www.winpcap.org/docs/

In particular, if you are interested in the structure and the internals of WinPcap, we suggest reading the following documents:

  • Fulvio Risso, Loris Degioanni, An Architecture for High Performance Network Analysis, Proceedings of the 6th IEEE Symposium on Computers and Communications (ISCC 2001), Hammamet, Tunisia, July 2001
  • Loris Degioanni, Mario Baldi, Fulvio Risso and Gianluca Varenni, Profiling and Optimization of Software-Based Network-Analysis Applications, Proceedings of the 15th IEEE Symposium on Computer Architecture and High Performance Computing (SBAC-PAD 2003), Sao Paulo, Brasil, November 2003
  • Loris Degioanni, Development of an Architecture for Packet Capture and Network Traffic Analysis, Graduation Thesis, Politecnico Di Torino (Turin, Italy, Mar. 2000)

Note

Our development and documentation efforts focus primarily on the Windows NT/2000/XP/2003 version of WinPcap. This choice is based on the fact that the majority of the WinPcap users work on NTx systems, but also because the 9x technology has been abandoned by Microsoft. Moreover, we assume that a person who needs to use a PC for an advanced task like network analysis will install an advanced OS on the machine. For this reason, the documentation will refer to the WinNTx drivers and APIs. Win9x versions are very similar in the concept but sometimes differ in the implementation and, occasionally, the Win9x version of the API lacks some of the more advanced functionality. This manual describes the complete API and will indicate when a function is present only in Windows NTx.

documentation. Copyright (c) 2002-2005 Politecnico di Torino. Copyright (c) 2005-2007 CACE Technologies. All rights reserved.

КАК WINPCAP МОЖЕТ ПОПАСТЬ НА МОЙ КОМПЬЮТЕР?

Вы можете скачать WinPcap с официального сайта, или вместе с другими приложениями. Обычно эту программу скачивают вместе с WireShark и похожим ПО.

Чтобы предотвратить её появление на Вашем компьютере, Вам следует следить за установкой каждой программы на Ваш компьютер. Мы рекомендуем внимательно читать каждое условие, смотреть за каждым устанавливаемым компонентом, и снимать галочки со всех незнакомых пунктов.

Если Вас обманным путем заставили установить WinPcap, и Вы в ней не нуждаетесь, Вам следует немедленно удалить её. Кроме того, если Ваш браузер постоянно перенаправляет Вас на ненужные страницы, Вам следует проверить компьютер с обновленной антишпионской программой.


С этим читают