Öncelikle, WinPcap nedir soruna cevap olarak:
WinPcap Win32 platformunda paket yakalama ve ağ analizi için açık kaynak kodlu bir kütüphanedir.
Çoğu ağ uygulaması ağa erişimde socket adı verilen işletim sistemi öğeleri kullanır. Bu yaklaşımla ağdaki verilere erişim kolaydır çünkü alt seviye detaylarla (protokol işleme, paket tekrar birleştirme vs) işletim sistemi ilgilenir ve dosya okuma ve yazmadakine benzer bir arabirim sunar.
Fakat bazen bu kolay yol işimizi görmez ve bazı uygulamaların ağdaki paketlere direk erişmesi gerekir. Yani işletim sistemi protokol işleme yapmadan ağdaki "çiğ" veriye erişim ihtiyacı duyarlar.
WinPcap'in amacı da bu tip erişimi Win32 uygulamalarına sağlamaktır. Aşağıdakileri sunar:
- raw paketleri yakalama, hem çalıştığı makinaya gelen paketleri hem de diğer makinalar arasındaki paketleri
- Paketleri uygulamaya vermeden önce kullanıcının belirlediği kurallara göre filtreleme
- ağa raw paket gönderme
- ağ trafiği hakkında istatistiki bilgi toplama
Bu yetenekler Win32 kernelin ağ bölümünde kurulu bir cihaz sürücüsü ve birkaç DLL tarafından sağlanır.
Bilgisayarında neden kurulu olduğu sorusuna gelirsek:
Normalde WireShark gibi bir ağ dinleyici program kurmadıysan sisteminde winpcap olmaması lazım. Eğer bilgisayar daha önce bu tip işlerle uğraşmış birisi tarafından kullanılmışsa sistemden kaldırmayı unutmuş olabilir.
Kötü amaçlı kullanımı da söz konusu. Bilgisayarına sızılmış ve ağ trafiğini dinleyip dışarıya rapor etmek için kurulmuş olabilir.
Eğer bir ağ dinleyici uygulama veya bir ağ analiz aracı kullanmıyorsan WinPcap'e ihtiyacın yok diyebiliriz. Makinandan kaldırabilirsin. Program Ekle Kaldır'dan kaldırabilirsin. Eğer orada yoksa bulunduğu klasörü silebilirsin, tabi windows veya bir sistem klasörü içinde değilse. Sadece çalıştırılabilir dosyayı da silebilirsiniz.