Npcap что это за программа и нужна ли она
Что это за программа WinPcap и нужна ли она?
Всем привет 
Сегодня поговорим о такой программе как WinPcap, что это такое и зачем оно нужно. Есть специальные программы, которые работают с сетью. Не с интернетом, а именно с сетью. Ну а сеть может быть как интернет, так и локальная.
WinPcap является основой для такого софта, и без нее никак они работать не будут. Поэтому с одной стороны WinPcap это программа, а с другой это компонент, который необходим для других программ. Например известная в узком кругу программа Wireshark для слежки за трафиком, такие программы называются снифферами. Компонент WinPcap позволяет смотреть что и кому шлют, ну это если очень образно сказать 
WinPcap устанавливает в Windows свой драйвер, который и используют другие программы. Именно драйвер позволяет работать сетевому интерфейсу WinPcap надежно и четко.
WinPcap сидит в такой папке как:
C:\Program Files (x86)\WinPcap
Там присутствует три файла, это лог, консольный компонент управления и Uninstall.exe, который служит для деинсталляции программы.
Почему у вас установлен WinPcap? Тут есть несколько версий, возможно что ваш компьютер является рабочим и данное ПО уже было установлено, соответственно его удалять не нужно. Также некоторые программы могут в автоматическом режиме скачать и установить WinPcap, так как это просто необходимо для их работы.
Интересно то, что поддерживается работа даже в Windows 95, 98, конечно я не уверен что работает там все прям уж отлично, но тем не менее такое заявление от разработчиков есть.
Среди минусов — не все сетевое оборудование может нормально подружится с драйвером WinPcap, особенно это или очень древние устройство или самое современно и навороченное 
Вообще ничего не понятно? Ну давайте, я попробую еще проще. WinPcap это такая штука, через которую проходит сеть, в которой может идти как просто сеть между компами так и интернет. Данная сеть — это пакеты, которые передаются между компьютерами, вот именно эти пакеты может перехватывать WinPcap и давать какой-то программе, которая уже будет что-то с ними там делать. Ну как-то так, надеюсь уже точно понятно
То есть, если для вас это все незнакомо и вы никаким специальным сетевым софтом не пользуетесь, то возможно что WinPcap стоит удалить? Но опять же, а если какой-то проге он нужен? Обычно Офису, играм, самой Windows, браузерам, в общем обычному софту WinPcap и близко не нужен. Это только для сетевого софта, которым еще нужно уметь пользоваться. Некоторые хакерские утилиты требуют наличия в системе WinPcap.
Как удалить WinPcap с компьютера полностью?
Для удаления вы можете использовать продвинутую программу Revo Uninstaller, которая удаляет не только программу но и весь мусор после нее. Ну это так, как хотите, мое дело предложить
Ну а в самой Windows удалить легко — нажимаете на Пуск, выбираете Панель управления:
Потом находим значок Программы и компоненты:
И в списке установленных программ смотрим, где там стоит WinPcap, находим его и нажимаем правой кнопкой, где выбираем Удалить:
Дальше появится окошко, там нажимаем кнопку Uninstall:
И WinPcap удалится просто мгновенно, о чем будет написано в следующем окошке:
Вот и все, WinPcap удален с компа вашего. Надеюсь что я нормально все тут написал и вам все понятно о программе WinPcap? Мне теперь осталось пожелать вам удачи 
Winpcap что это за программа
Winpcap – это программа, которая вызывает массу вопросов, начиная от того, что это за программа и заканчивая тем, как ей пользоваться. Мы решили ответить на все, и подготовили небольшой обзор утилиты.
Многие пользователи часто сталкиваются с ситуацией, когда при установке той или иной программы им навязывают ещё какой-нибудь софт. Например, Winpcap. Что это за программа? Зачем её использовать на собственном компьютере, и не лучше ли её просто удалить? Давайте посмотрим на неё глазами обычного человека и ответим сами себе на такой вопрос.
Winpcap – что это за программа
Если говорить о таком дополнительном приложении, то перед вами оказывается библиотека 32-битных версий Windows, которая реализована на низком уровне. Её разрабатывали для того, чтобы улучшить взаимодействие между некоторыми сетевыми интерфейсами. Функция такой утилиты состоит в захвате и передаче сетевых пакетов. Их потом перенаправляют, обходя стек протоколов. Как видно из описания, рассматриваемая утилита имеет спрос у относительно узкой категории специалистов – сисадминов и некоторых программистов. Поэтому если вы не принадлежите к их числу, то такой софт вам точно не понадобится.
Что это за программа – Winpcap, какие возможности она предлагает реализовать? Дело в том, что большая часть сетевых приложений по стандарту получает необходимые данные стандартными путями. Эти лёгкие маршруты – обычное сочетание порта и IP-адреса, что образуют привычный ОС сокет. Однако не в каждом случае использование такого пути позволяет операционной системе справиться с поставленной задачей.
Тогда в дело может вступить рассматриваемая здесь утилита, которая даст определённым приложениям прямой доступ к 32-битным данным. Она позволяет:
Часто специалисты имеют дело со многими инструментами. Например, сетевыми мониторами, сканерами, маршрутизаторами, генераторами трафика и т. д. Вот всё это и может использовать интерфейс программирования для выполнения поставленных задач. Выходит, что эта программа очень полезная, но используют её чаще всего именно узкие специалисты.
Они же отмечают, что утилита обладает некоторыми недостатками. Например, она просто не может определить, какой тип трафика передаётся ею в настоящее время. Получается, что программа не может оказать должную поддержку брандмауэрам, приложениям для шейпинга сети и т. д.
Если же вы узнаете, что трафик куда-то теряется, мы рекомендуем установить другой браузер – например, Оперу. Особенно этот совет поможет тем, кто пользуется непопулярными решениями, куда могут быть вшиты даже майнеры!
Следить за трафиком надо не только тем, у кого ограниченный тариф, но и тем, кто не может себе позволить терять даже мегабит, так как работает на DSL кабеле. Если эта программа поможет вам сэкономить хотя бы один мегабит в секунду, то будет уже намного лучше, не правда ли?
Режим монитора Wi-Fi в Windows
С беспроводными атаками в Windows всё довольно плохо. Одной из немногих бесплатных программ, которые умеют выполнять настоящие атаки на Wi-Fi в Windows (а не только показывать доступные сети или извлекать ранее введённые пароли от Точек Доступа), является программа Router Scan by Stas’M. Она умеет выполнять атаки на WPS, в том числе Pixie Dust. Также она может подбирать пароли от Точек Доступа — но делает это онлайн, то есть требуется постоянное присутствие около ТД, к тому же, это очень медленно.
Есть несколько платных решений для режима монитора Wi-Fi в Windows и даже для беспроводной инъекции — но я их не изучал, если у кого-то есть практический опыт, то поделитесь им в этой теме.
Некоторое время назад (сейчас уже снят с производства), можно было купить аппаратное решение AirPcap, с которым могли работать некоторые программы.
Итак, в этой теме делимся своим опытом по переводу Wi-Fi адаптера в режим монитора в Windows и атаками на Wi-Fi из Windows.
Npcap + Wireshark = режим монитора Wi-Fi в Windows
Теперь Npcap, которая пришла на смену WinPcap, в связке с Wireshark умеет переводить сетевые интерфейсы Wi-Fi в режим монитора и захватывать сырые Wi-Fi фреймы.
После долгих мук мне удалось таки заставить это работать.
Порядок действий следующий:
Удачно протестировано с Alfa AWUS052NH (идёт захват фреймов), но есть проблемы, о которых ниже.
Нерешённые проблемы:
HackWare.ru
Этичный хакинг и тестирование на проникновение, информационная безопасность
Взлом Wi-Fi без пользователей в Windows (с использованием Wireshark и Npcap для захвата PMKID)
Npcap — это WinPcap для Windows 10
Npcap — это проект от программистов Nmap, это библиотека предназначенная для сниффинга (и отправки) пакетов, создана для работы в Windows. Она основывается на библиотеках WinPcap/Libpcap, но у неё улучшена скорость, портативность и безопасность. По своей сути, Npcap — это новая версия WinPcap, с новыми функциями и поддержкой современных версий Windows 10.
Классический WinPcap умеет захватывать сырые фреймы 802.11, но поддерживает только одно аппаратное решение — AirPcap. Npcap также умеет захватывать сырые фреймы 802.11, но поддерживает различные беспроводные карты.
Также в комплекте с Npcap идут сопутствующие утилиты, умеющие переводить беспроводные карты в режим монитора в Windows (если драйвер это поддерживает).
Режим монитора в Windows
Как и в Linux, в Windows можно переводить многие беспроводные карты, которые поддерживают режим монитора в Linux, в Monitor Mode. Например, это работает для многих Alfa. Но имеется сразу несколько проблем:
Тем не менее имеется более или менее рабочая связка, а именно: Wireshark умеет через Npcap переводить беспроводные интерфейсы в режим монитора и захватывать сырые фреймы Wi-Fi сетей (по крайней мере в официальной документации Npcap так написано). Опять же, невозможно делать беспроводные инъекции, но… В атаках без клиентов (подробности здесь и здесь) нам и не нужно делать беспроводные инъекции, для захвата PMKID нужен режим монитора, а также второй беспроводной интерфейс, с которого будет делаться обычная попытка подключения (с любым паролем).
Как установить Npcap для захвата сырых Wi-Fi фреймов
Итак, нам нужен сам Npcap. Скачать его можно здесь (это официальный сайт).
Обратите внимание, что Npcap и WinPcap не должны быть одновременно установлены. Поэтому если у вас уже есть WinPcap, предварительно удалите его. Npcap полностью заменяет WinPcap и имеет дополнительные возможности. Если вы удалите WinPcap во время установки Npcap, то когда появится запрос, перезагрузить ли компьютер сейчас, выберите ручную перезагрузку, чтобы завершить установку Npcap.
Хотя это нигде не написано, но для Npcap, видимо, нужен Microsoft Visual C++ Redistributable 2013.
При установке Npcap, выберите опции:
Нам также нужна программа Wireshark, которую можно скачать здесь. Если Npcap установлен правильно, то опция с предложением установить WinPcap должна быть неактивной:
Для работы с беспроводными картами в режиме монитора, Npcap использует интерфейс «Native 802.11 WLAN», который является устаревшим в Windows 10. И хотя есть подтверждения, что в Windows 10 ещё можно использовать Native 802.11 WLAN, лично у меня что-то не заладилось. Поэтому можете попробовать всё это установить в Windows 8. Я сам попробовал — установил Windows 8 в виртуальную машину, но у меня всё равно не получилось.
Также вам могут понадобиться драйверы для вашей беспроводной карты, например, для Alfa я скачивал драйверы здесь: alfa.com.tw/files/?dir=%5B1%5D%20WiFi%20USB%20adapter
Примеры адаптеров протестированных авторами программы: https://secwiki.org/w/Npcap/WiFi_adapters
Как захватить PMKID в Windows
Подключите ваш Wi-Fi адаптер.
Запустите от администратора Wireshark:
Теперь найдите меню Capture и выберите там Options:
Если ваша карта поддерживает режим монитора и если до этого вы установили всё правильно, то у вас в столбце Monitor Mode напротив беспроводных интерфейсов должен стоять чекбокс.
У меня для моих карт он есть (как вы можете увидеть на скриншоте), но как только я ставлю галочку, она исчезает. Я перепробовал три Wi-Fi адаптера с разными чипсетами, пробовал виртуальные машины, пробовал на реальном компьютере, даже специально установил Windows 8 и попробовал там. Результат всегда один и тот же — галочка сразу пропадает. Можно начать сомневаться, работает ли это вообще, но здесь авторы очень уверенно пишут что работает.
Поэтому будем исходить из того, что у вас также это сработало.
Чтобы точка доступа отправила первое сообщение рукопожатия с PMKID, необходимо подключиться к ней с другого беспроводного интерфейса — пароль можно выбрать любой, поскольку пароль не влияет на первое сообщение рукопожатия.
После того, как будут захвачены данные, отфильтровать нужный фрейм можно прямо в Wireshark, для этого используйте фильтр (подробности по работе с беспроводными фреймами смотрите в статье «Как извлечь рукопожатия из файла захвата с несколькими рукопожатиями»):
После извлечения PMKID, его можно начать брут-форсить прямо в Windows, в Aircrack-ng (как показано здесь) или в Hashcat (как показано здесь).
Как перевести Wi-Fi адаптер в режим монитора в Windows
Если у вас тоже возникли проблемы с захватом сырых Wi-Fi фреймов, то в качестве утешительного приза, можете перевести свою Alfa в режим монитора в Windows — с этим никаких проблем нет. Проблема в том, что какое-либо применение этого режима монитора отсутствует полностью: Airodump-ng эти интерфейсы не понимает. И даже Wireshark, которая вроде как работает с Npcap, не понимает этот режим монитора — нужно, чтобы она сама перевела карту в режим монитора.
Поэтому, для тех, у кого как у меня ничего не получилось, этот режим монитора достаётся в качестве утешительного (и бесполезного) приза.
Чтобы его включить, откройте командную строку от администратора и перейдите в папку C:\Windows\System32\Npcap\:
Посмотрите имена беспроводных интерфейсов:
Мой интерфейс я переименовал в awus052nh, по умолчанию он может называться «Беспроводная сеть» или как-то похоже. Как написано в справке, программа WlanHelper.exe должна понимать и Имя интерфейса и Идентификатор GUID, который показан на пару строк пониже. Но у меня WlanHelper.exe категорически не принимает Имя интерфейса, появляется ошибка
Хотя работа Идентификатором GUID протекает нормально.
Поэтому в последующих командах вместо имени я буду использовать именно Идентификатор GUID (замените его на свой).
Чтобы просмотреть текущий режим монитора введите:
Чтобы перевести в режим монитора:
Настолько же просто, насколько и бесполезно…
Заключение
Как я уже сказал, у меня не получилось захватить PMKID. Если у кого-то получится по этой инструкции — просьба написать в комментарии. Возможно, кто-то увидел, что именно мной было сделано неправильно и почему Wireshark не может использовать режим монитора? Буду благодарен любым советам.
Дополнение
Разрешил свою проблему с тем, что в Windows Wi-Fi адаптеры не переводятся в режим монитора. Помог совет от посетителя на англоязычной версии этой статьи:
Удалить 2 dll: wpcap.dll, Packet.dll в C:\WINDOWS\System32 и в C:\WINDOWS\SysWOW64. (возможно, whireshark перестанет работать; тогда удалить wireshark с winpcap, установить npcap, установить vc++2013, установить wireshark).
Проблема была решена удалением лишних файлов wpcap.dll и Packet.dll в C:\WINDOWS\System32 и в C:\WINDOWS\SysWOW64, эти файлы оставил только в папках C:\Windows\SysWOW64\Npcap\ и C:\Windows\System32\Npcap\.
Один Wi-Fi адаптер теперь нормально переводится в режим монитора и захватывает любые фреймы. Правда, у меня не получается переключить канал — он работает только на 1м канале. При переключении пишет «Успех», но при проверке канала вновь оказывается, что работает на 1м канале.
Второй Wi-Fi адаптер после перевода в режим монитора вызывает синий экран смерти — проблема именно в драйвере адаптера (имя файла вызвавшего ошибку выводится на синем экране).
Можно копать дальше и разбираться с проблемами — как будет время, продолжу возиться. Но всё-таки в Linux всё намного проще и стабильнее.
Wireshark 3.0.0: обзор нововведений
Wireshark Foundation выпустила финальную stable-версию популярного сетевого анализатора трафика — Wireshark 3.0.0. В новом релизе устранено несколько багов, реализована возможность анализа новых протоколов и заменен драйвер WinPcap на Npcap.
Wireshark — самый популярный в мире анализатор сетевых протоколов. Он используется для устранения неполадок, анализа, развития и обучения.
Новые и обновленные функции
Поддержка новых протоколов
Помимо обновления огромного количества протоколов, уже существующих в Wireshark, разработчики добавили поддержку следующих:
Apple Wireless Direct Link (AWDL), Basic Transport Protocol (BTP), BLIP Couchbase Mobile (BLIP), CDMA 2000, Circuit Emulation Service over Ethernet (CESoETH), Cisco Meraki Discovery Protocol (MDP), Distributed Ruby (DRb), DXL, E1AP (5G), EVS (3GPP TS 26.445 A.2 EVS RTP), Exablaze trailers, General Circuit Services Notification Application Protocol (GCSNA), GeoNetworking (GeoNw), GLOW Lawo Emberplus Data format, Great Britain Companion Specification (GBCS) used in the Smart Metering Equipment Technical Specifications (SMETS), GSM-R (User-to-User Information Element usage), HI3CCLinkData, Intelligent Transport Systems (ITS) application level, ISO 13400-2 Diagnostic communication over Internet Protocol (DoIP), ITU-t X.696 Octet Encoding Rules (OER), Local Number Portability Database Query Protocol (ANSI), MsgPack, NGAP (5G), NR (5G) PDCP, Osmocom Generic Subscriber Update Protocol (GSUP), PCOM protocol, PKCS#10 (RFC2986 Certification Request Syntax), PROXY (v2), S101 Lawo Emberplus transport frame, Secure Reliable Transport Protocol (SRT), Spirent Test Center Signature decoding for Ethernet and FibreChannel (STCSIG, disabled by default), Sybase-specific portions of TDS, systemd Journal Export, TeamSpeak 3 DNS, TPM 2.0, Ubiquiti Discovery Protocol (UBDP), WireGuard, XnAP (5G), and Z39.50 Information Retrieval Protocol.