调用wireshark(一):初次尝试

最新推荐文章于 2021-11-24 21:51:52 发布
最新推荐文章于 2021-11-24 21:51:52 发布
阅读量963 收藏 5
点赞数
文章标签: c# 操作系统 java
原文链接:http://www.cnblogs.com/zzqcn/archive/2013/05/11/3072362.html
版权

 

 

众所周知,wireshark是一款强大的开源抓包与协议分析工具。wireshark是一个巨大的宝库:通过研究它的协议解析器代码,我们可以加深对协议的理解;通过调用它的导出函数,我们可以在自己的程序中添加协议解析、协议过滤等功能。

这一系列文章就将一步步介绍在Windows平台上如何调用wireshark dll中提供的导出函数。

wireshark导出函数

windows版的wireshark在安装后,在安装根目录下有一个30多MB(视版本不同有所变化)的libwireshark.dll,没错,它就是我们将要调用的dll了。使用Dependency Walker打开它,如下图所示:

红色框标出来的那个函数val_to_str, 我们接下来要用到。

除了从这里查看wireshark的导出函数外,还可以查看 <wireshark源码目录>\epan\libwireshark.def 这个文件,来看特定版本的wireshark导出哪些变量和函数。

环境配置与准备

OK,接下来让我们写一点代码,来调用wireshark提供给我们的val_to_str函数。

调用某个函数前,最好看看它的wireshark源码,以便我们能在自己的代码中声明此函数。比如这个val_to_str,它在<wireshark源码目录>\epan\value_string.h 中声明:

/* Tries to match val against each element in the value_string array vs.
   Returns the associated string ptr on a match.
   Formats val with fmt, and returns the resulting string, on failure. */
extern const gchar* val_to_str(const guint32 val, const value_string *vs, const char *fmt);

那么这个value_string又是什么东东呢?其实它的声明也在这个文件里:

/* Struct for the val_to_str, match_strval_idx, and match_strval functions */

typedef struct _value_string {
  guint32  value;
  const gchar   *strptr;
} value_string;

呵呵,可见val_to_str函数的作用,就是返回value_string数组vs中value为val的项的字符串strptr。如果发生错误,则用fmt格式化val并返回。

我们使用Win32 Console工程。首先必须做一些琐碎的准备工作,比如添加glib和wireshark的一些头文件和库,再比如把libwireshark.dll和它所依赖的各种dll拷贝到你的程序所在目录,随便你怎么做,总之,要让你的程序找得到libwireshark.dll和它的依赖项。比如我设置了:

C/C++ - 常规 - 附加包含目录:
"E:\dev\WiresharkDev1.8.4\gtk+-bundle_2.24.10-2.7_win32ws\include\glib-2.0";
"E:\dev\WiresharkDev1.8.4\gtk+-bundle_2.24.10-2.7_win32ws\lib\glib-2.0\include";
"E:\dev\wireshark-1.8.4"

链接器 - 常规 - 附加库目录
"E:\dev\WiresharkDev1.8.4\gtk+-bundle_2.24.10-2.7_win32ws\lib"

链接器 - 输入 - 附加依赖项
glib-2.0.lib

然后,我把wireshark安装目录下,几乎所有dll拷贝到了我的工程的debug或release目录。

开发代码

其实代码很简单,主要过程就是:

加载libwireshark.dll -> 从DLL实例中获取函数val_to_str的地址 -> 调用val_to_str。

代码如下:

 1 /*
 2  * 调用wireshark的一个小函数
 3  *
 4  * Copyright (c) 2013 赵子清, All rights reserved.
 5  *
 6  */
 7 
 8 
 9 #include <Windows.h>
10 #include <stdio.h>
11 #include "epan/value_string.h"
12 
13 
14 const value_string vs[] =  
15 {  
16     {1, "C++"},  
17     {2, "java"},  
18     {3, "php"}  
19 };  
20 
21 typedef void (*f_emem_init) (void);
22 typedef void (*f_ep_free_all) (void);  
23 typedef const gchar* (*f_val_to_str) (guint32 val, const value_string *vs, const char *fmt);  
24 
25 
26 int main(int argc, char* argv[])  
27 {  
28     HINSTANCE  hDLL;  
29     f_emem_init     ws_emem_init;
30     f_ep_free_all   ws_ep_free_all;  
31     f_val_to_str    ws_val_to_str;  
32 
33     hDLL = ::LoadLibrary("libwireshark.dll");  
34     if(!hDLL)  
35     {  
36         printf("Can't load DLL!\n");  
37     }  
38     else  
39     {  
40         ws_emem_init = (f_emem_init)::GetProcAddress(hDLL, "emem_init");
41         ws_ep_free_all = (f_ep_free_all)::GetProcAddress(hDLL, "ep_free_all");
42         ws_val_to_str = (f_val_to_str)::GetProcAddress(hDLL, "val_to_str");  
43         if(!hDLL)  
44         {  
45             ::FreeLibrary(hDLL);  
46             printf("Can't get function!\n");  
47         }  
48         else  
49         {  
50             const gchar* ret;  
51             const gchar* fmt = "item not exist: %d";
52             ws_emem_init();
53             ret = ws_val_to_str(2, vs, fmt); 
54             printf("%s\n", ret);
55             ret = ws_val_to_str(9, vs, fmt); 
56             printf("%s\n", ret);
57             ret = ws_val_to_str(2, NULL, fmt);
58             printf("%s\n", ret);
59             ws_ep_free_all();
60         }  
61     }  
62 
63     system("PAUSE");  
64     return 0;  
65 }


有同学可能要问了:不是说好调用val_to_str的吗?为什么还要调用emem_init和ep_free_all?

是这样的,前面提到过,当val_to_str函数各种失败时,它就用fmt格式化val,并返回。而返回的是一个字符串指针,那么它的内存需要由wireshark内部来进行分配,所以,就用到emem_init了,它在wireshark启动时调用一次,初始化内部的内存分配机制。而ep_free_all,好吧,是擦屁股的。。。

写完收工,运行之,如下:

 

 

转载于:https://www.cnblogs.com/zzqcn/archive/2013/05/11/3072362.html

dengdi8115
关注
红队内网攻防渗透:内网渗透之内网各种工具平台的使用
HACKONE的博客
04-10 490
红队内网攻防渗透内网各种工具平台的使用 内网各种工具平台的使用
c++调用wireshark
12-11
在linux使用c++调用wireshark完成数据的解析,可以根据需要使用指定的解析器来完成数据解析。
Wireshark开发库
11-11
Wireshark网络抓包和发送包的开发库,非常不错。
libwireshark调用实例 - packetyzer源码
01-05
Wireshark是著名的开源抓包软件,除了提供用户可直接使用的UI外,Wireshark还提供动态库,供其他代码调用。 packetyzer是调用Wireshark功能的一个实现,已经很久没有更新,但还是一份很不错的参考代码。
C#编程入门以及wireshark 抓包软件运用
weixin_44439920的博客
10-31 1013
一、控制台程序使用 UDP 通信 1)创建新项目 打开 VS2019 ,点击 “ 创建新项目 ” 创建完成如下: 2)编写代码 在控制台上简单输出: 在 Main 函数内书写如下的代码(功能:连续输出 50 行数据)。 using System; using System.Collections.Generic; using System.Linq; using System.Text; using System.Threading.Tasks; namespace ConsoleApp2 {
wireshark java_Wireshark使用
weixin_29200485的博客
02-20 1029
工作后首次接触网络知识,从抓包工具Wireshark开始。Wireshark是网络包分析工具。主要作用是尝试捕获网络包,并显示包的尽可能详细的情况。Wireshark是开源网络分析软件。Wireshark在windows、Linux以及Unix上都可以使用。Wireshark中比较重要的还有过滤器,Filter分Display Filter、Capture Filter。Display Filte...
tshark java调用_wireshark自动化之tshark命令行
weixin_42123456的博客
02-25 839
tshark是wireshark安装目录下命令行工具使用tshark可以通过自动化方式调用wiresharktshark-a duration:30 抓包30秒-w cap.cap 保存为cap.cap-r cap.cap 读取指定报文-f arp 抓取arp报文,捕获过滤-R ip.addr==10.0.0.1 显示指定IP地址报文,显示过滤tshark -n -t a -R ssl -T f...
调用wireshark(二):调用协议解析器
dengdi8115的博客
05-11 1368
上文【调用wireshark(一):初次尝试http://www.cnblogs.com/zzqcn/archive/2013/05/11/3072362.html】已经介绍了调用wireshark的原理,并给出一个简单示例。本文要给出真正调用wireshark协议解析函数的方法和代码。 本文的讨论和代码基于wireshark 1.8.4版本。 涉及到的函数与数...
wireshark编译&基于openflow1.3协议开发
十一月份的小蛇的专栏
05-28 1400
基于wireshark的openflow1.3协议拓展,对于wireshark已有的openflow1.3解析器做修改,以适应个人研究项目的对口需求。
WINCE连接WEBSERVICE第一次很慢的解决办法
07-20
5. **WinCE系统优化**:由于WinCE系统可能对Web服务调用的底层实现不够优化,可以尝试升级或定制WinCE的.NET Compact Framework版本,确保其包含最新的性能改进和bug修复。同时,合理使用异步调用,避免阻塞UI线程,...
c# 读取 wireshark pcap文件 官方源码
03-02
官方源码 来源于github,解析tcp ,udp等数据包
C#使用TCP/UDP协议通信并用Wireshark抓包分析数据
02-24
本文章主要讲述使用VS2019编写C#程序,并通过UDP/TCP进行通信,使用Wireshark抓包软件抓取发送的包并分析数据结构,由于涉及到客户端和通信端,可以使用两台电脑,一台电脑编写客户端代码,一台电脑编写服务器端代码,也可以在一台电脑上开两个VS2019同时编译两个端,看自己的选择。实验环境:Window10系统开发工具:VisualStudio2019使用工具:Wireshark3.4.0下载Wireshark安装包,点击下面的链接提取,里面有2.6.4和3.2.7版本的注:我安装3.2.7版本的时候安装报错1603,百度了好久都没解决,但我室友安装时并没问题,所以我安装的是2.6.
java实现FTP协议:wireshark抓包解析
01-06
本节我们看看ftp协议的数据包格式,同时使用代码加以实现。首先我们现在机器上安装ftp服务器,我在自己的机器上安装了QuickFTP Server,它是我随便找来的一款Mac ftp服务器,如下图所示,我将连接端口设置为2100,同时设置了用户名和密码,如此我们就可以通过抓包的方式了解协议的数据包格式: 然后打开wireshark,在过滤条件中输入tcp.port==2100,接着开始监听,如此就能抓取相应ftp数据包。接着我从手机上使用ftp客户端连接到服务器,同时使用设置好的用户名密码登陆,在wireshark上抓包结果如下: 注意到前3条是tcp连接的三次握手,第四条是双方沟通tcp
pcap库函数使用
11-14
pcap库函数使用pcap库函数使用pcap库函数使用pcap库函数使用pcap库函数使用pcap库函数使用pcap库函数使用
Parrot OS取证工具实战指南:数据恢复与分析技巧全解
Parrot Security OS,简称Parrot OS,是一个基于Debian的社区开发项目,专为信息安全专业人士、渗透测试者、安全分析师和密码学家设计。它提供了丰富的安全工具和一个灵活的环境,用于各种安全任务,包括但不限于...
网络通信编程学习笔记(三):C#、UPD、Wireshark
TopLuther的博客
10-31 636
目录一、用C#编写基于UDP向别人发送消息的控制台程序1.1用C#做一个控制台输出字符的试验程序来熟悉C#1.2 正式开始编写基于UDP向别人发送消息的控制台程序二、用C#编写基于UDP向别人发送消息的窗口程序三、用wireshark抓取上述程序发送的网络包并分析数据帧 前言: 博主决定改变博文风格,虽然这些学习笔记是课程的作业,但是本着寓教于乐的思想,从本博文开始放弃一本正经的博文写法,在完全分享干货的同时自己来随性的写。也希望大家不要把这些博文当做“实验报告”或“什么什么的报告”来看,既然是发表到网络上
利用套接字C#编程实现数据发送和wireshark抓包
m0_49297422的博客
11-24 1707
目录一、C#实现控制台helloworld二、C#实现窗口helloworld三、四、 本过程使用的工具: Visual Studio 2019 Wireshark 一、C#实现控制台helloworld 1.项目创建 2.编写代码 using System; namespace Console_1 { class Program { static void Main(string[] args) { Console.WriteLi
Wireshark教程:网络封包分析利器
"WireShark是一款强大的网络封包分析软件,原名为Ethereal,因其主要开发者离职而改名为Wireshark。该工具以其简易的操作界面、丰富的功能和广泛的应用场景而受到网络管理员、安全工程师、开发者以及学习网络协议的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值