Onde encontrar o WinPcap no controle do sistema? (no Windows 8.1 Pro de 64 bits)

Onde posso encontrar o WinPcap no controle do sistema, presumi que ele estivesse sendo executado como um serviço, mas parece que estou enganado.

Iniciei o WinPcap via linha de comando ( fonte ):

runas /u:administrator "net start npf"

Antes de iniciar o WinPcap, o Wireshark não mostrava nenhuma interface de captura e depois exibia. Então, eu suponho que esteja em execução. Mas não consigo encontrá-lo na lista de serviços do gerenciador de tarefas.

Para restringir os candidatos, comparei os serviços em execução após iniciar e parar o WinCap, mas não há diferença.

Como posso confirmar diretamente que esse "serviço" está sendo executado no Windows 8?

C:\WINDOWS\system32>sc query "npf"

SERVICE_NAME: npf
        TYPE               : 1  KERNEL_DRIVER
        STATE              : 4  RUNNING
                                (STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
        WIN32_EXIT_CODE    : 0  (0x0)
        SERVICE_EXIT_CODE  : 0  (0x0)
        CHECKPOINT         : 0x0
        WAIT_HINT          : 0x0

MISTERIOSO :

sc querylista 85 serviços - nenhum dos quais é "npf" - mas sc query npfo encontrará.

Sim, você está certo, o WinPcap é um serviço (mas principalmente um driver), nomeado NetGroup Packet Filter Driver. O fato é que não pode ser visto no Windows Services Manager.

Você pode encontrá-lo no registro em:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NPF

Não testado, mas parece que você pode alterar a maneira como o serviço é iniciado. Navegue para a chave do registro acima. Então você encontrará um REG DWORDvalor chamado Start. Os valores são:

• Valor 0x3: SERVICE_DEMAND_START
• Valor 0x2: SERVICE_AUTO_START
• Valor 0x1: SERVICE_SYSTEM_START

No documento, eles dizem que só funciona no Windows NTx, mas tente! No meu sistema está definido como 0x2.

Para visualizá-lo em uma GUI, vá para (estou falando Windows7, espero que funcione Windows8):

1. Corre msinfo32.exe
2. Depois expanda Software environment
3. Então escolha System Drivers

Aqui você pode obter o status do npfserviço (mas não pode interagir com ele)

Editar:

Como posso confirmar diretamente que esse "serviço" está sendo executado no Windows 8?

Você pode usar isso no prompt de comando para verificar o estado do serviço:

sc query "npf"

ou isso, para verificar especificamente se está em execução:

sc query "npf" | findstr RUNNING
or 
sc query "npf" | find "RUNNING"

Edição 2:

Misterioso : sc querylista 85 serviços - nenhum dos quais é "npf" - mas sc query npfo encontrará.

Parece normal. Em relação ao documento, é assim que scfunciona.

Por padrão, SClista apenas serviços, não drivers. NPFé mais um motorista .

• Para obter todos os drivers: sc query type= driver(NPF será exibido)

• Para obter todos (Serviços + Drivers): sc query type= all(NPF também aparecerá)

Se você procurar a caixa de diálogo 'Executar' (tecla + s do Windows, digite executar para o Windows 8.1+) e digite 'msinfo32', isso abrirá o diálogo de informações avançadas do sistema. Expanda 'Ambiente de software' e selecione Drivers do sistema. Se você clicar no cabeçalho 'name', ele os classificará em ordem e você deverá encontrar o npf presente, com seu status nas colunas à direita.

Informações obtidas aqui: http://www.winpcap.org/misc/faq.htm#Q-3 Testadas no Windows 8.1 e no Windows 10 Technical Preview.