出于安全原因,我使用 Wireshark(它是 v2.4.x)如下:1)手动运行 WinPcap:从管理控制台它是命令:net start npf 2)从专用受限帐户运行 Wireshark GUI 应用程序。这是一个普通用户帐户,而不是管理员帐户,并且该帐户仅允许通过 NTFS 权限写入文件系统中的 Wireshark 配置文件。因此,如果协议解析器会受到恶意数据包的影响,Wireshark 永远不会更改/感染文件系统(或者,至少它变得更加困难)。命令是: start runas /user:Wireshark "Wireshark.exe" 或者,Shift + 上下文菜单 -> Run as different user with subsecuent account data enters 同样。3) 工作会话后关闭 Wireshark GUI 应用程序。4)手动关闭WinPcap:从管理控制台命令:net stop npf
这个场景工作得很好。但是现在使用 Wireshark v3.0.x 在相同的场景中,Wireshark 看不到 Npcap 和 WinPcap 的网络接口,就像捕获驱动程序根本没有启动的情况一样。
值得注意的是,如果使用该专用帐户登录(在 Windows 登录屏幕上),一切正常。因此,“runas”命令的问题(Shift + Context menu -> Run as different user 有相同的错误行为)。
有人知道更多吗?
提前致谢。