C:\WINDOWS\system32\drivers\npf.sys这个病毒怎么搞
我用360急救箱发现了这个npf.sys的文件,说是个可疑启动项,我怕是病毒,请问这个是病毒吗,如果是请告诉我怎么删除掉,谢谢...
我用360急救箱发现了这个npf.sys的文件,说是个可疑启动项,我怕是病毒,请问这个是病毒吗,如果是请告诉我怎么删除掉,谢谢
展开
5个回答
展开全部
不是病毒,不过是不是病毒伪装成的就不清楚了。
npf.sys
进程文件: npf 或 npf.sys
进程位置: system32\drivers
程序名称:
程序用途: wincap的一个驱动
进程分析: WinPcap是WIN32平台上的网络分析和捕获数据包的链接库。WinPcap的NPF.SYS驱动实现上存在漏洞,本地攻击者可能利用此漏洞提升自己的权限。
NPF.SYS驱动没有对传送给IOCTL 9031(BIOCGSTATS)的中断请求报文(IRP)参数执行充分的验证,如果向这个IOCTL发送了恶意参数,就可能导致覆盖任意内核内存。在默认安装中,只有在管理员使用了依赖于WinPcap的应用程序并初始化WinPcap时才会加载有漏洞的驱动。一旦加载,普通用户也可访问有漏洞的驱动,且在程序退出时也不会卸载驱动,除非手动卸载,否则攻击者仍可访问。 如果在安装时选择了允许普通用户访问选项,攻击者就可以访问有漏洞的驱动,利用这个漏洞以内核权限执行任意指令。
处理:删除它可能会对部分网络应用程序造成影响。
npf.sys
进程文件: npf 或 npf.sys
进程位置: system32\drivers
程序名称:
程序用途: wincap的一个驱动
进程分析: WinPcap是WIN32平台上的网络分析和捕获数据包的链接库。WinPcap的NPF.SYS驱动实现上存在漏洞,本地攻击者可能利用此漏洞提升自己的权限。
NPF.SYS驱动没有对传送给IOCTL 9031(BIOCGSTATS)的中断请求报文(IRP)参数执行充分的验证,如果向这个IOCTL发送了恶意参数,就可能导致覆盖任意内核内存。在默认安装中,只有在管理员使用了依赖于WinPcap的应用程序并初始化WinPcap时才会加载有漏洞的驱动。一旦加载,普通用户也可访问有漏洞的驱动,且在程序退出时也不会卸载驱动,除非手动卸载,否则攻击者仍可访问。 如果在安装时选择了允许普通用户访问选项,攻击者就可以访问有漏洞的驱动,利用这个漏洞以内核权限执行任意指令。
处理:删除它可能会对部分网络应用程序造成影响。
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
文件 npf.sys 是存放在目录 C:\Windows\System32\drivers。已知的 Windows XP 文件大小为 32,512 字节 (占总出现比率 78% ),34,064 字节,30,336 字节,42,000 字节。
驱动程序可以在【控制面板-管理工具-服务】中开始或停止,或者由其他程序 所控制。进程没有可视窗口。 没有关于这服务的详细注释。 这个不是 Windows 系统文件。 没有文件的资料。 npf.sys 似乎是被压缩过的文件 总结在技术上威胁的危险度是 26% , 但是也可以参考 用户意见。
驱动程序可以在【控制面板-管理工具-服务】中开始或停止,或者由其他程序 所控制。进程没有可视窗口。 没有关于这服务的详细注释。 这个不是 Windows 系统文件。 没有文件的资料。 npf.sys 似乎是被压缩过的文件 总结在技术上威胁的危险度是 26% , 但是也可以参考 用户意见。
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
更多回答(3)
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
