基本信息

进程文件： npf 或 npf.sys

进程位置： system32\\drivers

程序名称：

程序用途： wincap的一个驱动

进程分析： WinPcap是WIN32平台上的网络分析和捕获数据包的链接库。WinPcap的NPF.SYS驱动实现上存在漏洞，本地攻击者可能利用此漏洞提升自己的权限。

NPF.SYS驱动没有对传送给IOCTL 9031（BIOCGSTATS）的中断请求报文（IRP）参数执行充分的验证，如果向这个IOCTL发送了恶意参数，就可能导致覆盖任意内核内存。在默认安装中，只有在管理员使用了依赖于WinPcap的应用程序并初始化WinPcap时才会加载有漏洞的驱动。一旦加载，普通用户也可访问有漏洞的驱动，且在程序退出时也不会卸载驱动，除非手动卸载，否则攻击者仍可访问。 如果在安装时选择了允许普通用户访问选项，攻击者就可以访问有漏洞的驱动，利用这个漏洞以内核权限执行任意指令。

处理：删除它可能会对部分网络应用程序造成影响。

问题描述

出现问题的大部分原因是因该文件被木马病毒破坏导致系统找不到此文件，出现错误提示框，想要解决此问题只需找到专业的DLL文件下载网站，下载该文件，复制到相应目录。即可解决。