科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道关于npf.sys文件(WinPcap)

关于npf.sys文件(WinPcap)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

最近发现有将npf.sys当病毒查杀的多起案例,依据一般是google搜索的结果,如果说以讹传讹的GOOGLE效应奏效的话,我只能说非常遗憾了。

作者:zdnet安全频道 来源:论坛整理 2008年6月14日

关键字: winpcap npf.sys

  • 评论
  • 分享微博
  • 分享邮件

SREng驱动中通常可见:

==================================
驱动程序
[Netgroup Packet Filter / NPF][Stopped/Manual Start]
     <system32\drivers\npf.sys><CACE Technologies>

如下转载自http://www.nsfocus.net/vulndb/10610
WinPcap NPF.SYS驱动BIOCGSTATS参数本地权限提升漏洞


发布日期:2007-07-09
更新日期:2007-07-10

受影响系统:

WinPcap WinPcap 4.0

不受影响系统:

WinPcap WinPcap 4.0.1

描述:


BUGTRAQ    ID: 24829

WinPcap是WIN32平台上的网络分析和捕获数据包的链接库。

WinPcap的NPF.SYS驱动实现上存在漏洞,本地攻击者可能利用此漏洞提升自己的权限。

NPF.SYS驱动没有对传送给IOCTL 9031(BIOCGSTATS)的中断请求报文(IRP)参数执行充分的验证,如果向这个IOCTL发送了恶意参数,就可能导致覆盖任意内核内存。在默认安装中,只有在管理员使用了依赖于WinPcap的应用程序并初始化WinPcap时才会加载有漏洞的驱动。一旦加载,普通用户也可访问有漏洞的驱动,且在程序退出时也不会卸载驱动,除非手动卸载,否则攻击者仍可访问。 如果在安装时选择了允许普通用户访问选项,攻击者就可以访问有漏洞的驱动,利用这个漏洞以内核权限执行任意指令。

<*来源:Mario Ballano
  
    链接:
http://www.winpcap.org/misc/changelog.htm
        http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=550
*>

建议:


厂商补丁:

WinPcap
-------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.winpcap.org/install/bin/WinPcap_4_0_1.exe

 

另外,想说的是如下的两个也都是良民。(招商银行网上银行的文件)

 

==================================
驱动程序
[CMB8100 / CMB8100][Running/Auto Start]
     <\??\C:\WINDOWS\system32\Drivers\CertClient.dat><N/A>
[CMBProtector / CMBProtector][Running/Auto Start]
     <\??\C:\WINDOWS\system32\Drivers\CMBProtector.dat><N/A>

    • 评论
    • 分享微博
    • 分享邮件
        邮件订阅

        如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

        重磅专题
        往期文章
        最新文章