Dove trovare WinPcap nel controllo del sistema? (su Windows 8.1 Pro 64 bit)

Dove posso trovare WinPcap nel controllo del sistema, ho pensato che fosse in esecuzione come servizio ma sembra che mi sbagli.

Ho avviato WinPcap dalla riga di comando ( sorgente ):

runas /u:administrator "net start npf"

Prima di avviare WinPcap Wireshark non ha mostrato alcuna interfaccia di acquisizione e successivamente lo fa. Quindi suppongo che stia funzionando. Ma non riesco a trovarlo nell'elenco dei servizi del task manager.

Per restringere i candidati ho confrontato la gestione dei servizi dopo aver avviato e arrestato WinCap, ma non c'è differenza.

Come posso confermare direttamente che questo "servizio" è in esecuzione su Windows 8?

C:\WINDOWS\system32>sc query "npf"

SERVICE_NAME: npf
        TYPE               : 1  KERNEL_DRIVER
        STATE              : 4  RUNNING
                                (STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
        WIN32_EXIT_CODE    : 0  (0x0)
        SERVICE_EXIT_CODE  : 0  (0x0)
        CHECKPOINT         : 0x0
        WAIT_HINT          : 0x0

MISTERIOSO :

sc queryelenca 85 servizi - nessuno dei quali è "npf" - ma sc query npflo troverà.

Sì, hai ragione, WinPcap è un servizio (ma principalmente un driver), chiamato NetGroup Packet Filter Driver. Il fatto è che non può essere visto in Windows Services Manager.

Puoi trovarlo nel registro all'indirizzo:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NPF

Non testato, ma sembra che tu possa cambiare il modo in cui il servizio inizia. Passare alla chiave di registro sopra. Quindi troverai un REG DWORDvalore denominato Start. I valori sono:

• Valore 0x3: SERVICE_DEMAND_START
• Valore 0x2: SERVICE_AUTO_START
• Valore 0x1: SERVICE_SYSTEM_START

Nel documento dicono che funziona solo su Windows NTx, ma provalo! Sul mio sistema è impostato su 0x2.

Per visualizzarlo in una GUI, vai (sto parlando Windows7, spero che funzioni Windows8):

1. Correre msinfo32.exe
2. Quindi espandere Software environment
3. Quindi scegli System Drivers

Qui puoi ottenere lo stato per il npfservizio (ma non puoi interagire con esso)

Modificare :

Come posso confermare direttamente che questo "servizio" è in esecuzione su Windows 8?

È possibile utilizzare questo dal prompt dei comandi per verificare lo stato del servizio:

sc query "npf"

o questo, per verificare specificaly se è in esecuzione:

sc query "npf" | findstr RUNNING
or 
sc query "npf" | find "RUNNING"

Modifica 2:

Misterioso : sc queryelenca 85 servizi - nessuno dei quali è "npf" - ma sc query npflo troverà.

Sembra normale Per quanto riguarda il documento, questo è il modo in cui scfunziona.

Per impostazione predefinita, SCelenca solo i servizi, non i driver. NPFè più un driver .

• Per ottenere tutti i driver: sc query type= driver(verrà visualizzato NPF)

• Per ottenere tutto (Servizi + Driver): sc query type= all(Apparirà anche NPF)

Se si accede alla finestra di dialogo "Esegui" (tasto Windows + s, quindi digitare Esegui per Windows 8.1+) e digitare "msinfo32", si aprirà la finestra di dialogo delle informazioni di sistema avanzate. Espandere "Ambiente software", quindi selezionare Driver di sistema. Se fai clic sull'intestazione "nome", li ordinerà in ordine e dovresti trovare npf presente, con il suo stato nelle colonne a destra.

Informazioni raccolte da qui: http://www.winpcap.org/misc/faq.htm#Q-3 Testato su Windows 8.1 e Windows 10 Technical Preview.