处理脱机dump文件(上)

最新推荐文章于 2022-07-14 17:17:57 发布
最新推荐文章于 2022-07-14 17:17:57 发布
阅读量140 收藏
点赞数
原文链接:http://www.cnblogs.com/blacksword/archive/2012/03/13/2393868.html
版权

      如题所示,今天要讲解处理脱机dump文件(Handling offline files)。dump文件大家一定不会太陌生,其实就是进程的内存镜像。dump很大程度上是一个计算机术语,你应该会在跟备份有关的领域里听到这个词。而对于WinPcap的dump文件来说,其实就是将捕获到的所有网络数据包的信息存储到文件当中。事实上这是相当有意义的一件事情,用过捕包软件的同志,比如WireShark,将捕获到的信息保存至文件,还可以将文件中的信息载入到分析软件中,这样可以方便多次地查看和分析。WinPcap正是提供了相关的API来让开发者方便做这些事情,导出的格式也是和libpcap保持一致的,保持高度的移植性。

      咱们先来看看一个小程序,它实现的功能就是捕获用户指定设备的网络数据包并保存至文件。

#define HAVE_REMOTE
#include <pcap.h>

/* 回调函数原型 */
void packet_handler(u_char *param, const struct pcap_pkthdr *header, const u_char *pkt_data);

int main(int argc, char **argv)
{
    pcap_if_t *alldevs;
    pcap_if_t *d;
    int inum;
    int i=0;
    pcap_t *adhandle;
    char errbuf[PCAP_ERRBUF_SIZE];
    pcap_dumper_t *dumpfile;



    /* 检查程序输入参数 */
    if(argc != 2)
    {
        printf("usage: %s filename", argv[0]);
        return -1;
    }

    /* 获取本机设备列表 */
    if (pcap_findalldevs_ex(PCAP_SRC_IF_STRING, NULL, &alldevs, errbuf) == -1)
    {
        fprintf(stderr,"Error in pcap_findalldevs: %s\n", errbuf);
        exit(1);
    }

    /* 打印列表 */
    for(d=alldevs; d; d=d->next)
    {
        printf("%d. %s", ++i, d->name);
        if (d->description)
            printf(" (%s)\n", d->description);
        else
            printf(" (No description available)\n");
    }

    if(i==0)
    {
        printf("\nNo interfaces found! Make sure WinPcap is installed.\n");
        return -1;
    }

    printf("Enter the interface number (1-%d):",i);
    scanf("%d", &inum);

    if(inum < 1 || inum > i)
    {
        printf("\nInterface number out of range.\n");
        /* 释放列表 */
        pcap_freealldevs(alldevs);
        return -1;
    }

    /* 跳转到选中的适配器 */
    for(d=alldevs, i=0; i< inum-1 ; d=d->next, i++);


    /* 打开适配器 */
    if ( (adhandle= pcap_open(d->name,          // 设备名
                              65536,            // 要捕捉的数据包的部分
                              // 65535保证能捕获到不同数据链路层上的每个数据包的全部内容
                              PCAP_OPENFLAG_PROMISCUOUS,    // 混杂模式
                              1000,             // 读取超时时间
                              NULL,             // 远程机器验证
                              errbuf            // 错误缓冲池
                             ) ) == NULL)
    {
        fprintf(stderr,"\nUnable to open the adapter. %s is not supported by WinPcap\n", d->name);
        /* 释放设备列表 */
        pcap_freealldevs(alldevs);
        return -1;
    }

    /* 打开堆文件 */
    dumpfile = pcap_dump_open(adhandle, argv[1]);

    if(dumpfile==NULL)
    {
        fprintf(stderr,"\nError opening output file\n");
        return -1;
    }

    printf("\nlistening on %s... Press Ctrl+C to stop...\n", d->description);

    /* 释放设备列表 */
    pcap_freealldevs(alldevs);

    /* 开始捕获 */
    pcap_loop(adhandle, 0, packet_handler, (unsigned char *)dumpfile);

    return 0;
}

/* 回调函数,用来处理数据包 */
void packet_handler(u_char *dumpfile, const struct pcap_pkthdr *header, const u_char *pkt_data)
{
    /* 保存数据包到堆文件 */
    pcap_dump(dumpfile, header, pkt_data);
}

  这个程序看起来不是那么地吃力,如果看过我之前写过的博客的话。dumpfile它是一个pcap_dumper结构体指针,我们无从看到pcap_dumper结构体的定义,它也是WinPcap内核的一部分。文档上介绍它是一个libpcap文件描述符。调用pcap_dump_open()函数只需要给两个参数,一个是接口指针,另一个是文件名,返回的是文件指针。通过调用pcap_dump_open()这个函数我们就可以将文件和接口关联起来。pcap_loop()回调函数里只有一行代码,pcap_dump(),它的作用是将网络数据写入文件。这里我们需要注意一下pcap_loop()函数的给定,大致可以知道pcap_loop()最后一个参数是回调函数的一个用户参数。

      看完了一个简单的写文件操作,下面咱们再看看如何从dump文件中将数据读取出来,仍然是给出一个实例。

#define HAVE_REMOTE
#include <stdio.h>
#include <pcap.h>

#define LINE_LEN 16

void dispatcher_handler(u_char *, const struct pcap_pkthdr *, const u_char *);

int main(int argc, char **argv)
{
    pcap_t *fp;
    char errbuf[PCAP_ERRBUF_SIZE];
    char source[PCAP_BUF_SIZE];

    if(argc != 2)
    {

        printf("usage: %s filename", argv[0]);
        return -1;

    }

    /* 根据新WinPcap语法创建一个源字符串 */
    if ( pcap_createsrcstr( source,         // 源字符串
                            PCAP_SRC_FILE,  // 我们要打开的文件
                            NULL,           // 远程主机
                            NULL,           // 远程主机端口
                            argv[1],        // 我们要打开的文件名
                            errbuf          // 错误缓冲区
                          ) != 0)
    {
        fprintf(stderr,"\nError creating a source string\n");
        return -1;
    }

    /* 打开捕获文件 */
    if ( (fp= pcap_open(source,         // 设备名
                        65536,          // 要捕捉的数据包的部分
                        // 65535保证能捕获到不同数据链路层上的每个数据包的全部内容
                        PCAP_OPENFLAG_PROMISCUOUS,     // 混杂模式
                        1000,              // 读取超时时间
                        NULL,              // 远程机器验证
                        errbuf         // 错误缓冲池
                       ) ) == NULL)
    {
        fprintf(stderr,"\nUnable to open the file %s.\n", source);
        return -1;
    }

    // 读取并解析数据包,直到EOF为真
    pcap_loop(fp, 0, dispatcher_handler, NULL);

    return 0;
}



void dispatcher_handler(u_char *temp1,
                        const struct pcap_pkthdr *header, const u_char *pkt_data)
{
    u_int i=0;

    /* 打印pkt时间戳和pkt长度 */
    printf("%ld:%ld (%u)\n", header->ts.tv_sec, header->ts.tv_usec, header->len);

    /* 打印数据包 */
    for (i=1; (i < header->caplen + 1 ) ; i++)
    {
        printf("%.2x ", pkt_data[i-1]);
        if ( (i % LINE_LEN) == 0) printf("\n");
    }

    printf("\n\n");

}

  上面这个例子中引用了几个新的函数,我一一来介绍。pcap_createsrcstr(),根据函数名称我们可以猜测到它是用来创建一个源字符串的,那么这个源字符串是什么东西呢?事实上它是WinPcap定义的一种格式,例如使用"rpcap://"表示打开一个适配器,前面我们也在pcap_findalldevs_ex()中用到过;又如“file://”它是用来打开一个文件。根据例子中的注释我们可以清楚它的几个参数的意义,这里就不再赘述了。另外我们看到pcap_open()的第一个参数不再是我们之前给定的设备名称,而是我们刚才调用pcap_createsrcstr()函数所获得的源字符串。而pcap_loop()回调函数的作用就是将文件中的内容打印出来。

转载于:https://www.cnblogs.com/blacksword/archive/2012/03/13/2393868.html

weixin_33834679
关注
Oracle数据库维护中自动跟踪技术的应用分析.pdf
10-09
6. 系统监视进程(SMON)在系统启动时执行恢复操作,清除不再使用的临时段,合并空闲区域,并处理脱机错误。 7. 恢复进程(RECO)处理分布式事务,当网络或系统故障导致事务未完成时,RECO会尝试自动完成。 8. 调度...
基于QT的网络嗅探器实现(网络安全课程设计)
Ray的博客
05-23 1万+
在这学期的网络安全课程设计中,我们需要自己实现一个基于WinPcap编程接口的网络嗅探器,历时两周完成,主要参考资料: 1、WinPcap 中文技术文档(http://www.ferrisxu.com/WinPcap/html/index.html) 2、一步一步开发sniffer(Winpcap+MFC) (https://blog.csdn.net/litingli/a...
读取pcap文件,过滤非tcp包,获取IP及tcp端口信息
weixin_30707875的博客
07-10 352
1 // OpenAndFilterAndPres.cpp : Defines the entry point for the console application. 2 // 3 4 #include "stdafx.h" 5 #include "pcap.h" 6 #include "remote-ext.h" 7 #include"stdlib.h" 8 ...
wireshark安装问题
weixin_33809981的博客
01-27 565
[root@lc~]# tshark Running as user "root" and group "root". This could be dangerous.Capturing on eth0tshark: Unknown message from dumpcap, try to show it as a string: /usr/sbin/dumpcap: sy...
wireshark常见提示错误
zhaikaiyun的博客
03-18 6162
TCP dup ack (重复应答) [TCP dup ack XXX#X] 表示第几次重新请求某一个包, XXX表示第几个包(不是Seq), X表示第几次请求。 丢包或者乱序的情况下,会出现该标志。 RST,ACK(重置) 一般问题不大 [TCP Retransmission] (超时重传) 超时重传,如果一个包的丢了,又没有后续包可以在接收方触发[Dup Ack],或者**[Dup Ack]也丢失**的情况下,TCP会触发超时重传机制。 [TCP P
Linux编译wireshark,Linux 编译安装Wireshark出现的问题
weixin_32535389的博客
05-04 951
./configure (Linux配置环境,生成Makefile)make (编译链接,生成可执行文件或库)make install (将生成的文件复制到对应的路径下)而在configure阶段会产生各种各样的错误,大都是由于没有对应的类库而造成的。错误信息:C compiler cannot create executables错误信息:C++ preprocessor "/lib/cpp" ...
oracle数据备份、恢复及常见问题解决方法
12-14
脱机备份是在数据库关闭状态下进行的一种备份方式,主要用于备份数据库的物理文件。在进行脱机备份前,需要确保数据库已经正常关闭。脱机备份主要包括以下文件: - **所有控制文件**:后缀名为 .CTL。 - **所有数据...
IBM as/400 RPG编程
07-08
- 支持在程序中处理图形文件或位图。 **3.2 使用 CRTBNDRPG 命令建立程序** - **使用 CRTBNDRPG 命令**: - 创建可执行程序。 - 编译源代码。 - **使用编译清单**: - 显示编译过程中遇到的所有错误和警告。 - ...
天翼之链服务端(不确定)
02-20
首先,我们要在系统层面上理解,服务端运行在Sun Solaris 9/10操作系统上。Sun Solaris是由Sun Microsystems开发的一款Unix操作系统,以其稳定性和高性能而闻名,特别适合大型企业级应用和服务。Solaris 9和10都是其...
解决wireshark无法抓包的问题
曾义文的博客
03-20 3万+
最近由于工作需要,准备使用wireshark进行抓包,遂进入wireshark官网下了个wireshark(版本是2.4.5),奈何无法抓包。在网上搜了很多方法,终于解决,在此记录一下。 wireshark程序启动之后,无法抓包,主页面下未显示可捕获的接口,这种情况是因为”WinPcap Packet Driver (NPF) 服务未启动“。 解决方法:以管理员身份运行cmd,...
wireshark抓包:错误分析
qq_43148894的博客
07-14 9173
WireShark抓包:错误分析
winpcap开发包使用中的问题总结。
leotangcw的专栏
05-23 1万+
好久没写博客了,今天写点吧。       这里主要讨论一下winpcap开发中可能遇到的问题,如果能帮助您解决一些困难,将是我的荣幸。随便转载,转载请注明出处http://blog.csdn.net/leotangcw/欢迎大家和我交流Email:tangchengwen@163.com      winpcap开发包在使用中还是会有一些容易被忽略的问题的,由于这些问题可能让您在开
wireshark读写pcap文件_使用wireshark分析tcpdump出来的pcap文件
weixin_39717110的博客
12-20 1104
工作中的常用用法一、tcpdump常用用法:1,-i 指定网口 -vnn 常用选项,显示详细信息并且不解析IP,端口 ;抓取某个网口上发往或来自某个IP的报文tcpdump -i ethX host 192.168.1.100 -vnn2,可以用or 或者and 连接多个过滤条件,port前的tcp表示tcp协议,也可为udp;抓取某个网口上发往或来自某个IP、并且指定端口的报文tcpdump -...
在Centos6.5下通过使用tcpdump抓包和wireshark分析包
weixin_33747129的博客
07-31 214
在Centos6.5下通过使用tcpdump抓包和wireshark分析包,初步了解抓包和解包安装首先我们要安装tcpdump,必须的库:view sourceprint?1.<codeclass=" hljs cmake">yum install flex2.yum install bison3.yum install gcc </code>...
winpcap学习笔记--(Handling offline dump files--1)
菜逼成长录
06-06 1210
其实这章的作用就是把抓过来的包都储存在一个文件中,就是
清理Dump文件
weixin_34336292的博客
10-05 909
  也不知道曾几何时,Windows就为了调试应用程序崩溃、蓝屏等错误加了很多log和dump。所谓dump,就是将内存里的部分或全部数据写到文件中,以便开发者、程序员查看和调试,发现问题所在。比如在系统属性里,高级——启动和故障恢复——写入调试信息,一般用户版本的Windows(Win2000 Pro, WinXP)都是小内存转储(Small memory dump, 64K),而服务器版本的W...
Dump文件的生成和使用
热门推荐
不当初
06-04 15万+
1 简介 第一次遇到程序崩溃的问题,之前为单位开发了一个插件程序,在本机运行没有出现问题,但把生成的可执行文件拷贝到服务器上一运行程序,刚进入插件代码,插件服务就崩溃了,当时被这个问题整的很惨,在同事的帮助下了解到,对于程序崩溃,最快的解决方式是生成dump文件,通过生成dump文件使用调试工具进行调试,还原程序崩溃时的状态,能够起到快速定位排查问题的作用。Dump文件是进程的内存镜像。可以...
ORA-31640: unable to open dump file 问题解决
cps9988的博客
08-24 3429
在一次将ORACLE 10G 数据库数据迁移到ORACLE 11G RAC环境时,遇到了"ORA-31640: unable to open dump file "的错误.导入的命令如下:$nohup idmpdp system...
python编程处理数据dump文件
最新发布
09-14
Python是一种广泛用于数据处理和分析的编程语言。在处理数据dump文件时,Python提供了一套丰富的库来读取、解析和操作数据。数据dump文件通常包含了特定格式的数据,例如JSON、CSV或者数据库的dump文件等。 下面是一个简单的例子,介绍如何使用Python来处理常见的数据格式: 1. 处理JSON数据: Python内置的`json`模块可以用来解析JSON格式的文件。JSON是JavaScript Object Notation的缩写,是一种轻量级的数据交换格式,易于人阅读和编写,同时也易于机器解析和生成。 ```python import json # 读取JSON文件 with open('data.json', 'r') as file: data = json.load(file) # 处理数据 for item in data: # 进行数据处理... pass ``` 2. 处理CSV数据: `csv`模块用于解析和写入CSV文件,它允许你读取CSV文件中的数据,并且将其转换为Python中的列表和字典。 ```python import csv # 读取CSV文件 with open('data.csv', newline='') as csvfile: reader = csv.DictReader(csvfile) for row in reader: # 处理每一行数据... pass ``` 3. 处理数据库dump文件: 数据库的dump文件通常需要使用相应的数据库管理系统(如MySQL、PostgreSQL等)的工具来恢复,但也可以使用Python的数据库连接库如`pymysql`、`psycopg2`等来编写脚本处理。 以MySQL为例: ```python import pymysql # 连接数据库 conn = pymysql.connect(host='localhost', user='user', password='password', db='database') # 创建游标 with conn.cursor() as cursor: # 执行SQL查询 cursor.execute("SELECT * FROM your_table") # 获取查询结果 records = cursor.fetchall() for row in records: # 处理每条记录... pass # 关闭连接 conn.close() ``` 处理dump文件时需要注意数据格式、编码、换行符等问题,以确保数据能正确读取和处理
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值