使用我的自定义解剖器点击时,wireshark中的分组数据未突出显示
我正在Lua中编写一个解剖器,用于自定义二进制协议。我定义了三种字段类型:
f.field1= ProtoField.bytes("myproto.field1","Field 1",base.HEX)
f.field2= ProtoField.uint16("myproto.field2","Field 2",base.HEX)
f.field3= ProtoField.bytes("myproto.field3","Field 3",base.HEX)
这些字段将添加到树中,如下所示:
subtree:add(f.field1,buf(offset,4))
offset = offset +4
val2=buf(offset,2):uint()
-- some logic around populating f2_description omitted
offset=offset+2
subtree:add(f.field2,val2):append_text(" (" ..f2_description ..")")
subtree:add(f.field3,buf(offset,2))
现在,当我打开Wireshark并单击解剖数据包树中的Field1或Field3时,我看到所选数据在原始数据包十六进制视图(最下面的面板)中突出显示:
,但Field2的情况并非如此:
我做错了什么?
1 个答案:
答案 0 :(得分:1)
如果树的第二个参数:add(..,..)是(或至少,直接引用)一个UserData类型值,那么Wireshark解析器会选择正确的字段。
在您的示例中,buf()是UserData,但val2不是。
尝试一下:
subtree:add(f.field2,buf(offset,2):uint()):append_text(" (" ..f2_description ..")")
另一方面,你不会为ISO8583编写解剖器,对吗?
相关问题
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?