Wireshark一个强大的数据抓包分析工具,刚安装时使用没有问题,但是后面有时候会出现 The NPF driver isn’t running.
搜索了一下解决方案,出现这个情况可能是因为没有安装Winpcap驱动或者安装Winpcap时没有选中开机自动启动winpcap选项。
首先这个Winpcap我已经安装过了。所以只能是后者。如果没有安装,直接安装就行了。
解决方法:
1. 没有安装Winpcap,通常在 Wireshark的安装目录内都有带一个Winpcap的安装包,Wireshark的安装包一般会在:WiresharkPortable\App\Wireshark\WinPcap_x_x_x.exe。运行安装一次,然后重启系统即可。
注意,安装过程中有一个auto start的选项一定要选中。否则可能你需要每次使用Wireshark的时候手动去启动npf驱动。
2. 安装WinPcap错误的,请尝试先把Winpcap卸载,卸载完成后一定要重启系统,卸载过程中如果有文件锁定的错误提示均不需要理会。重启电脑后重新安装一次Winpcap,可能会提示你的系统已经安装了Winpcap,无需理会,继续安装即可。安装完成后重启系统,这样应该就能正常使用Wireshark了。
3.以上两种情况都不能解决,那需要先确定npf服务是否已经正确安装到系统中,先确认npf.sys文件是否存在 C:\Windows\System32\drivers 文件夹中。文件如果不存在,请重新安装Winpcap。文件如果存在,则运行cmd(Win7/Vista用户需要按开始后,输入cmd搜索,在搜索的程序结果中的 cmd.exe 图标上右键选择 以管理员身份运行 。此项一定要注意。若不是以管理员身份运行,会提示失败,错误提示码5。但是非管理员用户可以查询。
3.1 输入命令查询npf服务是否安装:
C:\Users\user123>sc qc npf
[SC] QueryServiceConfig 成功
SERVICE_NAME: npf
TYPE : 1 KERNEL_DRIVER
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : system32\drivers\npf.sys
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : NetGroup Packet Filter Driver
DEPENDENCIES :
SERVICE_START_NAME :
有以上结果输出说明正常,如果没有则重新安装Winpcap后再试。我的系统此处显示DEMAND_START。非自动启动。所以手动启动就可以了。
3.2 手动启动npf服务:
C:\Windows\system32>sc start npf
如果没有错误提示,打开Wireshark应该可以正常使用了。
3.3 如果npf服务的查询结果中的START_TYPE的值不是 AUTO_START 的话,又不想每次都自己手动运行npf驱动,可以用下面的命令把npf服务改为自动启动。
C:\Windows\system32>sc config npf start= auto
---------------------