npcap oem что это
Wireshark 3.0.0: обзор нововведений
Wireshark Foundation выпустила финальную stable-версию популярного сетевого анализатора трафика — Wireshark 3.0.0. В новом релизе устранено несколько багов, реализована возможность анализа новых протоколов и заменен драйвер WinPcap на Npcap.
Wireshark — самый популярный в мире анализатор сетевых протоколов. Он используется для устранения неполадок, анализа, развития и обучения.
Новые и обновленные функции
Поддержка новых протоколов
Помимо обновления огромного количества протоколов, уже существующих в Wireshark, разработчики добавили поддержку следующих:
Apple Wireless Direct Link (AWDL), Basic Transport Protocol (BTP), BLIP Couchbase Mobile (BLIP), CDMA 2000, Circuit Emulation Service over Ethernet (CESoETH), Cisco Meraki Discovery Protocol (MDP), Distributed Ruby (DRb), DXL, E1AP (5G), EVS (3GPP TS 26.445 A.2 EVS RTP), Exablaze trailers, General Circuit Services Notification Application Protocol (GCSNA), GeoNetworking (GeoNw), GLOW Lawo Emberplus Data format, Great Britain Companion Specification (GBCS) used in the Smart Metering Equipment Technical Specifications (SMETS), GSM-R (User-to-User Information Element usage), HI3CCLinkData, Intelligent Transport Systems (ITS) application level, ISO 13400-2 Diagnostic communication over Internet Protocol (DoIP), ITU-t X.696 Octet Encoding Rules (OER), Local Number Portability Database Query Protocol (ANSI), MsgPack, NGAP (5G), NR (5G) PDCP, Osmocom Generic Subscriber Update Protocol (GSUP), PCOM protocol, PKCS#10 (RFC2986 Certification Request Syntax), PROXY (v2), S101 Lawo Emberplus transport frame, Secure Reliable Transport Protocol (SRT), Spirent Test Center Signature decoding for Ethernet and FibreChannel (STCSIG, disabled by default), Sybase-specific portions of TDS, systemd Journal Export, TeamSpeak 3 DNS, TPM 2.0, Ubiquiti Discovery Protocol (UBDP), WireGuard, XnAP (5G), and Z39.50 Information Retrieval Protocol.
HackWare.ru
Этичный хакинг и тестирование на проникновение, информационная безопасность
Взлом Wi-Fi без пользователей в Windows (с использованием Wireshark и Npcap для захвата PMKID)
Npcap — это WinPcap для Windows 10
Npcap — это проект от программистов Nmap, это библиотека предназначенная для сниффинга (и отправки) пакетов, создана для работы в Windows. Она основывается на библиотеках WinPcap/Libpcap, но у неё улучшена скорость, портативность и безопасность. По своей сути, Npcap — это новая версия WinPcap, с новыми функциями и поддержкой современных версий Windows 10.
Классический WinPcap умеет захватывать сырые фреймы 802.11, но поддерживает только одно аппаратное решение — AirPcap. Npcap также умеет захватывать сырые фреймы 802.11, но поддерживает различные беспроводные карты.
Также в комплекте с Npcap идут сопутствующие утилиты, умеющие переводить беспроводные карты в режим монитора в Windows (если драйвер это поддерживает).
Режим монитора в Windows
Как и в Linux, в Windows можно переводить многие беспроводные карты, которые поддерживают режим монитора в Linux, в Monitor Mode. Например, это работает для многих Alfa. Но имеется сразу несколько проблем:
Тем не менее имеется более или менее рабочая связка, а именно: Wireshark умеет через Npcap переводить беспроводные интерфейсы в режим монитора и захватывать сырые фреймы Wi-Fi сетей (по крайней мере в официальной документации Npcap так написано). Опять же, невозможно делать беспроводные инъекции, но… В атаках без клиентов (подробности здесь и здесь) нам и не нужно делать беспроводные инъекции, для захвата PMKID нужен режим монитора, а также второй беспроводной интерфейс, с которого будет делаться обычная попытка подключения (с любым паролем).
Как установить Npcap для захвата сырых Wi-Fi фреймов
Итак, нам нужен сам Npcap. Скачать его можно здесь (это официальный сайт).
Обратите внимание, что Npcap и WinPcap не должны быть одновременно установлены. Поэтому если у вас уже есть WinPcap, предварительно удалите его. Npcap полностью заменяет WinPcap и имеет дополнительные возможности. Если вы удалите WinPcap во время установки Npcap, то когда появится запрос, перезагрузить ли компьютер сейчас, выберите ручную перезагрузку, чтобы завершить установку Npcap.
Хотя это нигде не написано, но для Npcap, видимо, нужен Microsoft Visual C++ Redistributable 2013.
При установке Npcap, выберите опции:
Нам также нужна программа Wireshark, которую можно скачать здесь. Если Npcap установлен правильно, то опция с предложением установить WinPcap должна быть неактивной:
Для работы с беспроводными картами в режиме монитора, Npcap использует интерфейс «Native 802.11 WLAN», который является устаревшим в Windows 10. И хотя есть подтверждения, что в Windows 10 ещё можно использовать Native 802.11 WLAN, лично у меня что-то не заладилось. Поэтому можете попробовать всё это установить в Windows 8. Я сам попробовал — установил Windows 8 в виртуальную машину, но у меня всё равно не получилось.
Также вам могут понадобиться драйверы для вашей беспроводной карты, например, для Alfa я скачивал драйверы здесь: alfa.com.tw/files/?dir=%5B1%5D%20WiFi%20USB%20adapter
Примеры адаптеров протестированных авторами программы: https://secwiki.org/w/Npcap/WiFi_adapters
Как захватить PMKID в Windows
Подключите ваш Wi-Fi адаптер.
Запустите от администратора Wireshark:
Теперь найдите меню Capture и выберите там Options:
Если ваша карта поддерживает режим монитора и если до этого вы установили всё правильно, то у вас в столбце Monitor Mode напротив беспроводных интерфейсов должен стоять чекбокс.
У меня для моих карт он есть (как вы можете увидеть на скриншоте), но как только я ставлю галочку, она исчезает. Я перепробовал три Wi-Fi адаптера с разными чипсетами, пробовал виртуальные машины, пробовал на реальном компьютере, даже специально установил Windows 8 и попробовал там. Результат всегда один и тот же — галочка сразу пропадает. Можно начать сомневаться, работает ли это вообще, но здесь авторы очень уверенно пишут что работает.
Поэтому будем исходить из того, что у вас также это сработало.
Чтобы точка доступа отправила первое сообщение рукопожатия с PMKID, необходимо подключиться к ней с другого беспроводного интерфейса — пароль можно выбрать любой, поскольку пароль не влияет на первое сообщение рукопожатия.
После того, как будут захвачены данные, отфильтровать нужный фрейм можно прямо в Wireshark, для этого используйте фильтр (подробности по работе с беспроводными фреймами смотрите в статье «Как извлечь рукопожатия из файла захвата с несколькими рукопожатиями»):
После извлечения PMKID, его можно начать брут-форсить прямо в Windows, в Aircrack-ng (как показано здесь) или в Hashcat (как показано здесь).
Как перевести Wi-Fi адаптер в режим монитора в Windows
Если у вас тоже возникли проблемы с захватом сырых Wi-Fi фреймов, то в качестве утешительного приза, можете перевести свою Alfa в режим монитора в Windows — с этим никаких проблем нет. Проблема в том, что какое-либо применение этого режима монитора отсутствует полностью: Airodump-ng эти интерфейсы не понимает. И даже Wireshark, которая вроде как работает с Npcap, не понимает этот режим монитора — нужно, чтобы она сама перевела карту в режим монитора.
Поэтому, для тех, у кого как у меня ничего не получилось, этот режим монитора достаётся в качестве утешительного (и бесполезного) приза.
Чтобы его включить, откройте командную строку от администратора и перейдите в папку C:\Windows\System32\Npcap\:
Посмотрите имена беспроводных интерфейсов:
Мой интерфейс я переименовал в awus052nh, по умолчанию он может называться «Беспроводная сеть» или как-то похоже. Как написано в справке, программа WlanHelper.exe должна понимать и Имя интерфейса и Идентификатор GUID, который показан на пару строк пониже. Но у меня WlanHelper.exe категорически не принимает Имя интерфейса, появляется ошибка
Хотя работа Идентификатором GUID протекает нормально.
Поэтому в последующих командах вместо имени я буду использовать именно Идентификатор GUID (замените его на свой).
Чтобы просмотреть текущий режим монитора введите:
Чтобы перевести в режим монитора:
Настолько же просто, насколько и бесполезно…
Заключение
Как я уже сказал, у меня не получилось захватить PMKID. Если у кого-то получится по этой инструкции — просьба написать в комментарии. Возможно, кто-то увидел, что именно мной было сделано неправильно и почему Wireshark не может использовать режим монитора? Буду благодарен любым советам.
Дополнение
Разрешил свою проблему с тем, что в Windows Wi-Fi адаптеры не переводятся в режим монитора. Помог совет от посетителя на англоязычной версии этой статьи:
Удалить 2 dll: wpcap.dll, Packet.dll в C:\WINDOWS\System32 и в C:\WINDOWS\SysWOW64. (возможно, whireshark перестанет работать; тогда удалить wireshark с winpcap, установить npcap, установить vc++2013, установить wireshark).
Проблема была решена удалением лишних файлов wpcap.dll и Packet.dll в C:\WINDOWS\System32 и в C:\WINDOWS\SysWOW64, эти файлы оставил только в папках C:\Windows\SysWOW64\Npcap\ и C:\Windows\System32\Npcap\.
Один Wi-Fi адаптер теперь нормально переводится в режим монитора и захватывает любые фреймы. Правда, у меня не получается переключить канал — он работает только на 1м канале. При переключении пишет «Успех», но при проверке канала вновь оказывается, что работает на 1м канале.
Второй Wi-Fi адаптер после перевода в режим монитора вызывает синий экран смерти — проблема именно в драйвере адаптера (имя файла вызвавшего ошибку выводится на синем экране).
Можно копать дальше и разбираться с проблемами — как будет время, продолжу возиться. Но всё-таки в Linux всё намного проще и стабильнее.
Packet capture library for Windows
Many more details about Npcap are available in the Npcap User/Developer Guide. We’ve also created a feature comparison between Npcap and WinPcap.
Downloading and Installing Npcap Free Edition
The free version of Npcap may be used (but not externally redistributed) on up to 5 systems (free license details). It may also be used on unlimited systems where it is only used with Nmap, Wireshark, and/or Microsoft Defender for Identity. Simply run the executable installer. The full source code for each release is available, and developers can build their apps against the SDK. The improvements for each release are documented in the Npcap Changelog.
The latest development source is in our Github source repository. Windows XP and earlier are not supported; you can use WinPcap for these versions.
Npcap OEM for Commercial Use and Redistribution
Npcap OEM Redistribution License: The redistribution license is for companies that wish to distribute Npcap OEM within their products (the free Npcap edition does not allow this). Licensees generally use the Npcap OEM silent installer, ensuring a seamless experience for end users. Licensees may choose between a perpetual unlimited license or an annual term license, along with options for commercial support and updates. [Redistribution license details]
Npcap OEM Internal-Use License: The corporate internal license is for organizations that wish to use Npcap OEM internally, without redistribution outside their organization. This allows them to bypass the 5-system usage cap of the Npcap free edition. It includes commercial support and update options, and provides the extra Npcap OEM features such as the silent installer for enterprise-wide deployment. [Internal-use license details]
Documentation
The primary documentation for Npcap is the Npcap User’s Guide. You can also refer to the README file on Github. The changes in each new release are documented in the Npcap Changelog.
Patches, Bug Reports, Questions, Suggestions, etc
Npcap bug reports can be filed on the Npcap Issues Tracker. Please test with the latest version of Npcap first to ensure it hasn’t already been fixed. It is also helpful if you search the current issues first to find out if it has already been reported. Then you can leave a comment on the existing issue rather than creating duplicates. Feature enhancement requests can be made on the tracker as well
Questions, comments and bug reports are always welcome. One option is the Nmap development mailing list (nmap-dev). To subscribe, please visit: http://nmap.org/mailman/listinfo/dev.
Code patches to fix bugs are even better than bug reports. Instructions for creating patch files and sending them are available here.
Bug reports for Npcap can also be filed on the Npcap bug tracker.
What is Npcap OEM? Here’s what you should know about it
Some users have posted on Microsoft’s support forum about Npcap OEM. They have noticed Npcap listed in Apps & features and wonder what exactly is it.
That’s not surprising as unrecognized apps/programs can sometimes be viruses, so in this guide, we’re going to take a closer look at Npcap OEM and see what it actually is.
What exactly is Npcap OEM?
Npcap OEM is a third-party packet-sniffing driver (or library) for Windows platforms. This driver enables software to find the network adapter on your PC.
That library is needed for data capturing (intercepting data packets) on networks for packet analysis. Npcap OEM is available for download at the NMAP.org website.
There is a free/demo version of the Npcap library along with Npcap OEM that comes with commercial support, regular updates, and redistribution rights. The Npcap OEM license packages are primarily for commercial organizations.
Is Npcap a virus?
Npcap is not a virus at all but can still get installed on PCs without users knowing about it. That’s because the Npcap library gets installed with software that needs it.
Therefore, some users might not recognize Npcap when they see it listed in apps.
What software needs Npcap?
Network protocol (or packet) analyzers are the software requiring the Npcap packet-sniffing library. Those applications enable users to monitor network data because they come with Npcap.
With a proper network analyzer tool, users can capture traffic and analyze it with reports and charts.
Wireshark is an example of one network protocol analyzer utility. That open-source software comes with the latest Npcap library version, which gets installed with it.
Wireshark needs Npcap to capture live traffic on a network. Our packet sniffer software guide provides details for the best network analyzer tools, so be sure to check it.
Should I uninstall Npcap?
If you need to utilize network protocol analyzer software on Windows 10, you should not uninstall Npcap. However, users who don’t need to capture and analyze data packets don’t need Npcap.
So, go ahead and uninstall Npcap if you don’t need any network protocol analyzer software.
How do I uninstall Npcap?
So, don’t be alarmed if you notice Npcap is on your desktop or laptop. Most users probably won’t have much need for a data packet-sniffing library, and can easily uninstall Npcap.
However, make sure not to remove it if you still need any network analyzer tools installed on your computer.
Restoro has been downloaded by 0 readers this month.
Npcap OEM Edition—Internal-use License
Npcap is the Nmap Project’s packet capture (and transmission) library for Windows. While Npcap has many end users who simply use the free/demo version, we fund the Npcap project by selling the enhanced Npcap OEM Edition. This special version includes enterprise features such as the silent installer and commercial support as well as special license rights allowing customers to bypass the 5-system usage cap of the Npcap free edition. It includes commercial support and update options, and provides the extra Npcap OEM features such as the silent installer for enterprise-wide deployment. Key features include:
This page describes the Npcap OEM internal-use license for companies and other organizations that wish to use Npcap themselves, but won’t be redistributing Npcap outside of their organization. Companies which wish to redistribute Npcap OEM (such as within their products) should visit the Nmap OEM redistribution license page instead.
Npcap OEM releases are always made in conjunction with Npcap free/demo releases and the version numbers are the same. Since Npcap OEM is almost identical to the free/demo Npcap, more product details are available from the Npcap public pages and we won’t try to reproduce all of that here.
Internal-use License Prices & Terms
We offer Npcap OEM as a perpetual license to the current version, with the option to purchase maintenance (updates and support) for 1 or more years. Maintenance is optional, but highly recommended because it extends the perpetual license to include all new versions released during the maintenance period. And Npcap is under very active development. We made 13 releases in 2020, with dozens of feature enhancements, bug fixes, and performance improvements described here. Maintenance also includes commercial support whenever you need it. And the maintenance price never increases as long as you don’t let it lapse for more than 120 days. The license also includes priority with bug fixes and feature requests as well as funding continued development and improvements in Npcap.
Please note that Npcap OEM does not include any license management or DRM components. Those can be risky if they go wrong, so we rely on companies to track their own install numbers (or just buy the enterprise unlimited license). The rights Npcap OEM redistribution license customers enjoy are spelled out in the sample license certificate. This includes support, indemnification, warranty, updates, etc. A filled out version containing software download credentials is provided for each purchase.
Purchase Process (Internal-use License)
Once we receive your request, we will send a formal quote/invoice with an instant credit card payment link along with offline payment instructions for wire transfer, ACH direct deposit, or checks. Or issue a PO for us to invoice against.
Downloading and Installing Npcap OEM
Current licensees can find the Npcap OEM installer itself in this distribution directory. If you don’t remember your company’s username and password, please contact sales@nmap.com. Be sure to download the latest version unless you specifically require an older one. Note that updating Npcap to later versions requires a maintenance (support and upgrades) subscription. If you aren’t sure whether you have an active mainteance subsription, email sales@nmap.com and we will check for you.
Npcap OEM utilizes the same SDK as normal Npcap, and that is available from the Npcap public pages.
Support and Documentation for Npcap OEM
Npcap OEM shares its documentation with the public/demo version of Npcap. All of the documentation (and even the source code) is available by hyperlink from the Npcap public pages.
Licensees with an active maintenance (support and updates) have special access to report bugs or ask Npcap technical support questions. If you are a licensee and don’t have the support contact information, please email sales@nmap.com and we will send it to you.
Is maintenance (support and updates) optional?
Is the first year of maintenance included in the license fee?
No. While we strongly recommend maintenance for the reasons given in the last question, some of our customs choose to decline even the first year of maintenance. Others choose the 5-year prepaid options for a 20% discount. Quoting the license and maintenance costs separately allows customers to make their own selections.
Do you sell through resellers?
Yes, we are happy to make the sale through your preferred reseller. We regularly work with SoftwareONE, SHI, and dozens of other resellers. Just ask your reseller to contact sales@nmap.com on your behalf with the information requested in Purchase Process.
What if Npcap OEM doesn’t work out for us? Do you have a trial license or a way to return it for a refund?
Our internal license certificate (Section 5.4) includes a 3-month period from the software delivery date during which you can cease using Npcap OEM and request a full refund for any reason. Refunds include any maintenance fees already paid as well as any license fees, and they are provided within 30 days. So you don’t lose a penny if you aren’t happy with Npcap OEM or don’t end up needing it.
We also offer the free/demo version of Npcap for download and testing. While this lacks some convenience features of Npcap OEM (such as the silent installer), the actual driver functionality is virtually identical. This allows you to perform initial functionality testing even before purchasing a license.
Is Npcap OEM free if only used with Wireshark, Nmap, etc.
The free/demo version of Npcap includes a provision that systems which only use Npcap with Nmap, Wireshark, and/or Microsoft Defender for Identity do not count toward the normal five-install limitation. Npcap OEM licenses have much more generous install limits (starting at 100 and including an unlimited option) so all installs count. Even companies which only use Npcap OEM for Wireshark and Nmap can benefit from upgrading to Npcap OEM. It provides a silent installer for automated deployment as well as commercial support. Be sure to purchase the license size (100, 500, or unlimited installs) which factors in all of your intended usage, including Nmap, Wireshark, and MS Defender for Identity.
Where is the Npcap OEM SDK?
There is no need for a separate Npcap OEM SDK because all software compiled with the normal Npcap SDK is 100% compatible with both the free/demo Npcap and Npcap OEM. The Npcap SDK is available here. Please keep in mind that this internal-use license is not for redistribution. If you are compiling software that you will be distributing with Npcap outside of your organization, please buy the Npcap OEM redistribution license instead.