C:\WINDOWS\system32\drivers\npf.sys这个病毒怎么搞
1个回答
展开全部
进程位置: system32\drivers程序名称:程序用途: wincap的一个驱动
进程分析: WinPcap是WIN32平台上的网络分析和捕获数据包的链接库。WinPcap的NPF.SYS驱动实现上存在漏洞,本地攻击者可能利用此漏洞提升自己的权限。
NPF.SYS驱动没有对传送给IOCTL 9031(BIOCGSTATS)的中断请求报文(IRP)参数执行充分的验证,如果向这个IOCTL发送了恶意参数,就可能导致覆盖任意内核内存。在默认安装中,只有在管理员使用了依赖于WinPcap的应用程序并初始化WinPcap时才会加载有漏洞的驱动。一旦加载,普通用户也可访问有漏洞的驱动,且在程序退出时也不会卸载驱动,除非手动卸载,否则攻击者仍可访问。 如果在安装时选择了允许普通用户访问选项,攻击者就可以访问有漏洞的驱动,利用这个漏洞以内核权限执行任意指令。
处理:删除它可能会对部分网络应用程序造成影响。 追问: 可我没下wincap啊? 回答: 很多软件要用到wincap,可能是你安装其他软件时,那个软件安装上的。 补充: 你要是不放心,可以把那个文件提交到这个网站在线扫描一下,
进程分析: WinPcap是WIN32平台上的网络分析和捕获数据包的链接库。WinPcap的NPF.SYS驱动实现上存在漏洞,本地攻击者可能利用此漏洞提升自己的权限。
NPF.SYS驱动没有对传送给IOCTL 9031(BIOCGSTATS)的中断请求报文(IRP)参数执行充分的验证,如果向这个IOCTL发送了恶意参数,就可能导致覆盖任意内核内存。在默认安装中,只有在管理员使用了依赖于WinPcap的应用程序并初始化WinPcap时才会加载有漏洞的驱动。一旦加载,普通用户也可访问有漏洞的驱动,且在程序退出时也不会卸载驱动,除非手动卸载,否则攻击者仍可访问。 如果在安装时选择了允许普通用户访问选项,攻击者就可以访问有漏洞的驱动,利用这个漏洞以内核权限执行任意指令。
处理:删除它可能会对部分网络应用程序造成影响。 追问: 可我没下wincap啊? 回答: 很多软件要用到wincap,可能是你安装其他软件时,那个软件安装上的。 补充: 你要是不放心,可以把那个文件提交到这个网站在线扫描一下,
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
