NPF.SYS驅動沒有對傳送給IOCTL 9031(BIOCGSTATS)的中斷請求報文(IRP)參數執行充分的驗證,如果向這個IOCTL傳送了惡意參數,就可能導致覆蓋任意核心記憶體。
基本介紹
- 中文名:npf.sys
- 進程檔案: npf 或 npf.sys
- 進程位置: system32\drivers
- 程式用途: wincap的一個驅動
基本信息,問題描述,
基本信息
程式名稱:
進程分析: WinPcap是WIN32平台上的網路分析和捕獲數據包的程式庫。WinPcap的NPF.SYS驅動實現上存在漏洞,本地攻擊者可能利用此漏洞提升自己的許可權。
在默認安裝中,只有在管理員使用了依賴於WinPcap的應用程式並初始化WinPcap時才會載入有漏洞的驅動。一旦載入,普通用戶也可訪問有漏洞的驅動,且在程式退出時也不會卸載驅動,除非手動卸載,否則攻擊者仍可訪問。 如果在安裝時選擇了允許普通用戶訪問選項,攻擊者就可以訪問有漏洞的驅動,利用這個漏洞以核心許可權執行任意指令。
處理:刪除它可能會對部分網路應用程式造成影響。
問題描述
出現問題的大部分原因是因該檔案被木馬病毒破壞導致系統找不到此檔案,出現錯誤提示框,想要解決此問題只需找到專業的DLL檔案下載網站,下載該檔案,複製到相應目錄。即可解決。
