WinPcap V4.1.4 正式版网络封包抓取工具

宝哥软件园为您提供WinPcap,网络封包抓取工具免费下载，WinPcap是一款专业的网络封包抓取工具。网络封包抓取软件中的佼佼者WinPcap。

WinPcap是一款专业的网络数据包捕获工具。网络数据包捕获软件的领导者WinPcap。普通的联网应用程序只需要基本的操作系统元素(如套接字)就可以访问网络上的数据。在这种情况下，低级细节(如数据包重组和协议处理)由操作系统管理，这使得应用程序可以轻松读取正在进行的流量。WinPcap为软件(如网络和协议分析器、网络监视器/扫描器、流量记录器/生成器、用户级网桥和路由器、网络入侵检测系统或其他软件)设置了直接数据包访问的Windows标准。原始网络数据。

安装方式：

1.双击WinPcap安装程序进入如下向导界面，然后点击【下一步】。

2.阅读许可协议，单击[我同意]按钮同意并进入下一次安装。

3.要准备安装，请单击[安装]按钮开始安装。

4.弹出成功安装WinPcap的提示，点击【安装】。

常见问题：

Q1:如何检查我的系统上是否安装了WinPcap？如何删除？

答：WinPcap 2.1或更高版本：转到控制面板，打开添加或删除程序小程序。如果系统中存在WinPcap，将显示一个名为WinPcap的条目。双击以卸载WinPcap。

WinPcap 2.02或更早版本：转到控制面板，打开网络小程序。如果您的系统中存在WinPcap，将会列出名为“数据包捕获驱动程序”的条目(在Windows NT中，您必须选择“服务”选项卡)。选择它并按remove卸载WinPcap。

为了绝对确保WinPcap已经安装，请检查系统文件夹：您应该找到一个名为packet的包。*和wpcap.dll文件。检查文件日期：这些日期应该与WinPcap的发布日期兼容。我们收到了特洛伊木马或其他恶意软件的报告，它们会静默安装WinPcap驱动程序NPF.sys如果它们被感染，您可能会在Windows \ System32 \ Drivers中看到驱动程序文件，但在“添加或删除程序”小程序中没有条目或dll。

重要提示：有时，从Windows 9x控制面板中的网络小程序卸载WinPcap 2.02或更早版本时，Windows \ Packet.dll文件不会被删除。您必须手动删除此文件，否则2.1版将无法正常工作，并可能导致系统崩溃。

问题2:安装后，在控制面板的网络适配器属性下看不到WinPcap。有问题吗

答：不，如果你使用的是最新版本的WinPcap。正如Q-1所说，最新版本显示在“添加/删除程序”下，而不是“网络属性”下。

问题3:如何检查WinPcap当前是否在Win2K/XP/2k3计算机上运行？

答：点击开始按钮，然后运行。输入msinfo32。将显示系统信息面板。选择软件环境，然后选择系统驱动程序。条目NPF应该出现在这里。如果您以前启动过WinPcap应用程序，则此状态应该是正在运行。请记住，WinPcap应该至少运行一次，然后才能出现在此列表中。

问题4:基于XXX WinPcap的应用无法在我的系统上正常运行。是WinPcap的问题吗？

尝试使用Windump。特别是，“windump -D”报告了有效适配器的列表，并显示了WinPcap是否可以正确检测到您的硬件。如果WinDump好用，问题出在XXX程序，而不是WinPcap，所以请联系XXX的作者寻求帮助。

问题5:我可以在PPP连接上使用WinPcap吗？

答：Windows NT4。是否可以在此操作系统上捕获PPP/VPN连接。

Windows 2000/XP(x86)/2003(x86).这些系统在NDIS绑定过程中有局限性，这导致协议驱动程序在广域网适配器上无法正常工作。WinPcap 3.1和更高版本对使用Microsoft NetMon驱动程序上的包装器在拨号适配器上进行捕获提供了有限的支持。

注释：

您可以使用“通用拨号”或“通用网络”适配器(即使没有拨号连接也始终列出)捕获控制数据包(LCP和NCP)。控制帧被捕获为由以太网封装的PPP帧。

操作系统将PPP协议转换为伪以太网。您将看到以太网帧，而不是PPP帧。

不支持传输。

过滤和统计数据收集是在用户级别完成的。

Windows XP(x64)/2003(x64).是否可以在这些操作系统上捕获PPP/VPN连接。

Windows Vista及更高版本。是否可以在这些操作系统上捕获PPP/VPN连接。

问题6:我可以在VPN连接上使用WinPcap吗？

回答：如果是

如果使用标准的Windows VPN，可以使用Q5中描述的限制。Windows VPN被操作系统视为拨号连接，所以Q4中描述的一切在这里都适用。第三方虚拟专用网实现：一些NDIS中间驱动程序由于结构不整洁而没有被检测到。

问题7:在Windows NT/2000/XP上运行基于WinPcap的程序时，我需要成为管理员吗？

答：是/不是，WinPcap的安全模型很差，所以我们计划以后开发。目前，如果您是自上次重新启动后第一次执行基于WinPcap的应用程序，您必须是管理员。首次执行时，驱动程序将动态安装在系统中。从那时起，每个用户都可以使用WinPcap嗅探数据包。

问题8:我可以将WinPcap与Borland开发工具一起使用吗？

答：首先请注意，我们只支持微软Visual C，所以无法帮助其他编译器。

要在C Builder(5.0版本)下使用“使用WinPcap”，必须使用COFF2OMF.EXE程序，该程序可以在BORLAND目录中找到。该程序可以将Packet.lib和wpcap . lib(Visual C标准中的COFF)转换为OMF标准，这是C Builder的一种。在C Builder的帮助下键入COFF2OMF以获取更多信息。

语法(在DOS控制台中):

cof2mf input . lib output . lib

在这种情况下，Input.lib=wpcap.lib或packet.lib

问题9:在Visual Basic中可以使用WinPcap吗？

答：我们不支持Visual Basic，也因为对这个内容了解不够，所以无法提供这个话题的帮助。BeeSync开发了一个ActiveX控件，它将WinPcap数据包捕获与Visual Basic或任何其他支持Microsoft ActiveX技术的编程环境集成在一起。你可以在http://www.beesync.com/products.html.找到它

Q10:10:WinPcap可以和个人防火墙一起使用吗？

答：我们有几个报告说，如果个人防火墙和WinPcap安装在同一台计算机上，WinPcap将无法正常工作。典型的问题是无法从适配器捕获全部或部分流量，但一些用户也会报告发送方的异常行为(例如，一些数据包消失)。

大多数情况下，问题是由于防火墙和操作系统的网络栈之间的交互不规范造成的，所以我们这边没什么可做的。建议的解决方案是卸载防火墙。

注意：卸载，而不是禁用，因为即使一些防火墙(如ZoneAlarm)被禁用，它们仍然有奇怪的行为。

问题11:当在Windows上以混杂模式捕获时，除了发送到这台计算机或从这台计算机发送的数据包之外，我还可以看到其他数据包。但是，它不同于发往或来自这台机器的数据包。这些数据包具有“短帧”指示。我应该怎么做才能让我看到这些包的全部内容？

答：至少在某些情况下，这似乎是由网络接口上运行的PGPnet被捕获造成的。在此界面上将其关闭。

q12:12:WinPcap可以和Java一起使用吗？

答：我们不直接支持Java。但是，您可以在http://netresearch.ics.uci.edu/kfujii/jpcap/doc/index.html和http://jnetpcap.com/.找到Java包装器

问题13:13:WinPcap支持环回设备吗？

答：不支持，只支持物理接口。这是Windows的限制，不是WinPcap的限制。

Q14:在哪个操作系统上可以运行WinPcap？

答：WinPcap可以在所有主要的Win32操作系统上运行：Windows 95、98、ME、NT4、2000、XP、2003、Vista、2008、Windows 7、2008R2

总体情况如下：

Windows 95、98、ME:从WinPcap 4.0 beta3开始，不再支持Windows 95/98/ME。源代码包仍然包含这些操作系统的代码库，但是安装可执行文件将拒绝安装。支持此类操作系统的最新版本有WinPcap 3.1(稳定版)和WinPcap 4.0 beta2(不稳定版)，但WinPcap团队不再支持，所以遇到问题可以自己解决。

Windows XP/2003:需要WinPcap 2.3或更高版本。

Windows XP/2003(x64):需要WinPcap 3.2 alpha1或更高版本。64位平台不支持从拨号/虚拟专用网适配器捕获。

Vista/2008 (x86): Winpcap 3.1应该可以工作，但是功能有限。不支持PPP，并且未列出IPv6地址。强烈建议升级到WinPcap 4.0或更高版本，以便在Windows Vista上获得更好的支持。有关Vista支持的更多详细信息，请参见常见问题问答Q-28。

Vista/2008(x64):需要WinPcap 4.0或更高版本。

Windows 7/2008R2:需要WinPcap 4.1或更高版本。

Q15:为什么WinPcap不能在我的多处理器(SMP)计算机上运行？

答：从3.0版本开始，就包含了对SMP电脑的支持。更新您的WinPcap安装。

q16:16:WinPcap支持哪些网络适配器？

答：WinPcap设备驱动主要是针对以太网(10/100/1000)适配器开发的。在开发过程中，增加了对其他Macs的支持，但以太网仍然是测试最多的。一般情况是：

Windows 95/98/ME:包驱动可以在以太网上正常工作。它也可以在PPP广域网链路上工作，但有一些限制(例如，它无法捕获LCP和NCP数据包)。它应该支持FDDI、ARCNET、ATM和令牌环，但是我们没有测试它，因为我们没有硬件。

windows nt4/2000/XP/2003/vista/2008/win 7/2008 r 2:数据包驱动可以在以太网上正常工作。对于拨号适配器和虚拟专用网连接，请阅读Q5和Q6。和Win9x一样，它支持FDDI、ARCNET、ATM和令牌环，但是还没有经过我们的测试。

无线适配器：这些适配器可能有问题，因为Windows内核不正确支持它们。其中一些未被检测到，而一些不支持混杂模式。在最好的情况下，WinPcap可以看到以太网仿真，而不是实际的传输数据包：这意味着在捕获之前，802.11帧已经被转换为伪以太网帧，并且没有收到任何控制帧。为了实现真正的无线捕获，CACE技术公司提供了AirPcap适配器

专门用于嗅探802.11流量，包括控制帧、管理帧和功率信息。目前，AirPcap是唯一使用WinPcap捕获原始802.11流量的解决方案。您可以在AirPcap产品页面上找到更多详细信息。

Q17:我可以使用WinPcap丢弃传入的数据包吗？WinPcap可以用来搭建防火墙吗？

答：不是，WinPcap是作为协议实现的，所以它可以捕获数据包，但不能在数据包到达应用程序之前丢弃它们。WinPcap的过滤功能只适用于嗅探到的数据包。为了在TCP/IP堆栈之前拦截数据包，必须创建一个中间驱动程序。

q18:18:WinPcap能在系统启动时自动启动吗？

答：您可以将NPF服务的启动设置更改为“自动”或“系统”。一种方法是将注册表项HKEY _本地_机器\系统\当前控制集\服务\ NPF \从0x3(服务_需求_启动)更改为0x2(服务_自动_启动)或0x1(服务_系统_启动)。仅在Windows NT中有效

软件功能：

WinPcap是Windows环境下公认的链路层网络访问的行业标准工具。它允许应用程序绕过协议栈来捕获和传输网络数据包，包括内核级包过滤、网络统计引擎和对远程数据包捕获的支持。

WinPcap包括一个用于扩展操作系统以提供低级网络访问的驱动程序，以及一个用于轻松访问低级网络层的库。该库还包含著名的Windows libp cap Unix API。

WinPcap凭借其一系列的功能，已经成为协议分析器、网络监视器、网络入侵检测系统、嗅探器、流量生成器和网络测试器等众多开源和商用网络工具的数据包捕获和过滤引擎。其中一些网络工具(如Wireshark、Nmap、Snort和ntop)在网络社区中广为人知并被广泛使用。

数据包捕获和网络分析软件以及一组动态链接库作为Windows内核网络组件中的设备驱动程序部署在系统上。这些dll为这些类型的应用程序提供了易于使用的编程接口。

提供的动态库生成一组独立于系统的函数。这些功能用于获取可用网络适配器的列表，检索特定适配器的详细信息，通过网卡(网络接口卡)嗅探正在进行的数据包，以及发送和保存数据包。它还可以为一组特定的采集数据包创建数据包过滤器。

有了WinPcap，Wireshark、Nmap、Snort、nTop或Free HTTP Sniffer等程序都可以正常工作。这种软件具有捕获共享介质上可用网络适配器和其他计算机之间交换的原始数据包的功能。他们还可以应用用户定义的规则来过滤数据包，向网络分发原始数据包，或者收集有关现有流量的统计数据。

与流量整形、QoS调度器或个人防火墙不同，WinPcap的主要目标只是嗅探通过网络线路的数据包。因此，它无法阻止或管理同一系统上其他应用程序生成的流量。

作为基于数据包嗅探的高级网络监控和分析工具的重要需求，WinPcap对于花费大量时间使用该软件类别的用户来说是必不可少的。

软件特色：

高性能：

WinPcap实现了数据包捕获文献中描述的所有经典优化(例如内核级过滤和缓冲、上下文切换缓解、部分数据包复制)，以及一些原始优化，例如JIT过滤器编译和内核级统计处理。由于这些原因，WinPcap优于其他类似的方法。

受欢迎程度：

WinPcap被许多工具(包括协议分析器、网络监视器、网络入侵检测系统、嗅探器、流量生成器、网络测试器等)用作网络接口。)供免费和商业使用，包括Ethereal、Nmap、Snort、WinDump和ntop，这些都是网络社区中众所周知的。WinPcap每天被下载成千上万次。

经测试可靠：

多年来，许多用户都为在各种平台上测试WinPcap并找到最小的错误做出了贡献。WinPcap开发者都是经验丰富的Windows驱动，他们的软件开发方法都强调坚如磐石的稳定性。记住：SUV司机就是蓝屏。

最终用户易于使用：

WinPcap作为单个小的可执行文件分发，可以在每个支持的操作系统上运行。启动可执行文件，然后Windows就可以捕获并发送原始网络流量。再简单不过了。

程序员很容易使用。WinPcap的每个版本都附带一个开发包，其中包括立即启动自己的新应用程序所需的文档、库和文件。开发人员包中包含一组示例程序，可以使用Visual Studio和Cygnus立即编译，可以作为一个很好的起点。

多平台：

可以主动维护WinPcap

Windows nt、Windows 2000、Windows XP和Windows Server2003。WinPcap也可以在Windows 95、Windows 98和Windows ME上运行，但这些操作系统不再维护。Windows Vista最初支持，但某些功能已被禁用。

便携式：

WinPcap与libpcap完全兼容。这意味着您可以使用它将现有的Unix或Linux工具移植到Windows。这也意味着您的Windows应用程序将很容易移植到Unix。

证据充分：

WinPcap手动记录API和内部文档，带有易于跟随的超链接。本文档包含一个教程，指导您逐步完成WinPcap的所有功能