进程文件： npf 或 npf.sys

　　进程位置： system32\drivers

　　程序用途： wincap的一个驱动

　　进程分析： WinPcap是WIN32平台上的网络分析和捕获数据包的链接库。WinPcap的NPF.SYS驱动实现上存在漏洞，本地攻击者可能利用此漏洞提升自己的权限。

　　NPF.SYS驱动没有对传送给IOCTL 9031(BIOCGSTATS)的中断请求报文(IRP)参数执行充分的验证，如果向这个IOCTL发送了恶意参数，就可能导致覆盖任意内核内存。在默认安装中，只有在管理员使用了依赖于WinPcap的应用程序并初始化WinPcap时才会加载有漏洞的驱动。一旦加载，普通用户也可访问有漏洞的驱动，且在程序退出时也不会卸载驱动，除非手动卸载，否则攻击者仍可访问。 如果在安装时选择了允许普通用户访问选项，攻击者就可以访问有漏洞的驱动，利用这个漏洞以内核权限执行任意指令。

　　处理：删除它可能会对部分网络应用程序造成影响。

sys文件怎么打开

　　那个必须复制到系统的安装目录里面才可以，而且并不是所有扩展名为.sys的文件都要在系统盘里面那个系统的安装目录里面，有一些在system32文件夹里面，还有一些在windows文件夹【或winnt】文件夹里面的某些子文件夹里面，还有一些不一定就在以上这些地方里面，很有可能在别的地方，比如在某些软件的安装目录里面，反正这个说不定要把它放哪里。

　　SYS的文件的一些示例包括以下内容：

　　*IO.SYS：存储默认DOS设备驱动程序和DOS的初始化程序，被DOS和Windows 9x广泛使用。

　　*Msdos.sys：包含在DOS操作系统的核心代码，因DOS内核而闻名。

　　* CONFIG.SYS中：包含DOS使用的主要配置信息。

　　系统文件是最常见的Windows内安装的Windows目录。特别是，许多SYS文件存储在Windows \在Windows的更高版本的winsxs文件的目录。

Tags：

转载请标注：电脑技术网——npf.sys是什么意思