Npcap

Npcap 是由 Nmap 项目开发的 Windows 平台数据包捕获与注入库。它是对已停止维护的 WinPcap 项目的全面更新，具备更高的速度、可靠性和安全性。

Npcap 提供以下功能：

回环数据包捕获与注入：Npcap 可通过 Windows 过滤平台（WFP）捕获回环数据包（同一机器上服务间的传输）。安装后，Npcap 会提供一个名为 NPF_Loopback 的接口，描述为“用于回环捕获的适配器”。Wireshark 用户可选择该适配器，以与普通非回环适配器相同的方式捕获所有回环流量。使用 pcap_inject() 函数也可实现数据包注入。

支持所有 Windows 版本和架构：Npcap 利用新的 NDIS 6 轻量级过滤器（LWF）API，在 Windows 7 及更高版本上运行。驱动程序使用我们的 EV 证书签名，并经微软双重签名，因此即使在 Windows 10 更严格的驱动签名要求下也能正常工作。从版本 1.50 开始，Npcap 支持全新的 Windows on ARM 架构。

Libpcap API：Npcap 使用优秀的 Libpcap 库，使 Windows 应用程序能够使用可在 Linux 和 MacOS 上同样支持的可移植数据包捕获 API。Npcap 包含最新版 Libpcap 及其全部改进。

额外安全机制：Npcap 可选择性地限制仅管理员可进行数据包嗅探。同时启用了 Windows ASLR 和 DEP 安全特性，并对驱动程序、DLL 及可执行文件进行签名，防止篡改。

WinPcap 兼容性：对于尚未使用 Npcap 高级功能的应用程序，Npcap 默认以“WinPcap 兼容模式”安装，替换旧版 WinPcap 的驱动程序。

原始（监控模式）802.11 无线捕获：Npcap 可配置为读取原始 802.11 流量，包括射频头信息，该功能由 Wireshark 直接支持。