wireshark lua string:byte()错误

2016-2-6 3:22:48
收藏:0
阅读:68
评论:2

我在编写Lua解析器时遇到了一个字符串问题。我的数据包内容如下:

0000   00 00 00 69 00 10 00 01 00 00 00 ed 00 00 00 0c
0010   bf a6 5f ...

调试时,TVB的内容相同

enter image description here

偏移量为0x10的字节为0xbf,但是在我的解析器函数中,我得到了不同的结果。代码如下:

local str = buf(0x10):string()
local x = string.byte(str, 1)

变量x应该是0xbf,但它是0xef,而其他偏移量也是0xef:

local str = buf(0x11):string()
local x = string.byte(str, 1) -- 也得到0xef,应该是0xa6

local str = buf(11):string()
local x = string.byte(str, 1) -- 也得到0xef,应该是0xed

似乎大的值总是得到0xef作为结果,如0xa6 / 0xbf / 0xed …

而小的值将是正确的,如0x69 / 0x5f / 0x0c …

我正在使用最新的Wireshark 2.0,这是一个bug吗?

点赞
用户4117435
用户4117435

我对 Wireshark 并不是很了解,但我对接下来的问题有一些了解。

您正在使用 Wireshark 的 tvbrange:string([encoding]) 函数。我在 Wireshark 网站上找到的文档说,默认编码是 ENC_ASCII。0x80-0xFF 范围内的字节(您报告的问题所在)不是有效的 ASCII 码。

Wireshark 可能所做的是将这些转换为 U+FFFD,Unicode 的“替换字符”。这是表示 Unicode 字符串中未知字符的标准做法。

然后,Wireshark 可能会在返回给 Lua 时将此字符串编码为 UTF-8。U+FFFD 的 UTF-8 编码的第一个字节是 0xEF,因此您看到的就是这个。

如果您想从 TVB 中获取原始字节值,可以尝试使用 tvbrange:bytes([encoding]) 函数来获取值,例如:

local bytes = buf(0x10):bytes()
local x = bytes:get_index(0) -- 或许是 1,我不能确定是从 0 还是 1 开始索引

也许还有一些您可以传递给 tvbrange:string 的编码可以达到您想要的效果,但我找不到任何好的参考文献。

2016-02-07 03:17:17
用户427545
用户427545

假设 buf 是传递给你分析程序的参数,并且它是类型为 Tvb 的。当你调用它(比如,buf(0x10)),你就创建了一个 TvbRange 实例。它们都在这里有文档: https://www.wireshark.org/docs/wsdg_html_chunked/lua_module_Tvb.html

tehtmi 正是关于你为什么得到了错误结果的原因,tvbrange:string() 返回使用 ASCII 编码的字符串(因为省略了编码参数)。

获得原始字节缓冲区(而不是将其转换为 ASCII 或 UTF-8 字符串)的方法是:

local x = buf:raw(0x10, 1)

(使用偏移量 16 和长度 1。)

如果你想直接使用 buf(0x10):raw(),请注意,由于某种原因,这将返回支持这个 Tvb 的完整数据源。也许是一个 bug 或特性... 解决方法:

local bytes = buf(0x10)
local x = bytes:raw(bytes:offset(), bytes:len())
2017-07-04 12:44:49

作者:

用户2219196

用户2219196
推荐文章