wireshark 1.10.0 编译 及 协议解析部分的一些变化

wireshark不久前升级到1.10.0稳定版，这个版本正如其版本号一样，相比1.8.x有较大变化。

我们先说说在windows下编译的问题，1.8.4/1.8.6版本的编译见我的文章：http://www.cnblogs.com/zzqcn/archive/2013/04/23/3039110.html，这是重要的参考。更早的版本编译也是大同小异。这里要说一句，我在网上搜到的wireshark Windows下编译貌似全是我写的，csdn上那个blackboyofsnp也是我。

编译时的操作系统是Windows 7 32bit， 编译器是Visual C++ 2012，并带有Windows SDK v7.1。

1. 神马？VC++ 2012?? 没错，1.10.0终于支持VC++2012了，这是我发现的最大亮点。我终于不用为了编译它而在电脑上装多个版本的VS了，而且避免了CRT冲突的问题。

2. wireshark 1.10.0在Windows下的编译需要<Windows SDK>/include目录中的win32.mak文件，正好我装了Windows SDK 7.1，于是在编译之前的环境配置批处理脚本中加入了下面这一句：

set INCLUDE=%INCLUDE%;C:\Program Files\Microsoft SDKs\Windows\v7.1A\Include

此时我的bat脚本内容如下所示：

@echo off

set PATH=%PATH%:.
set PATH=%PATH%;d:\dev\cygwin\bin

set INCLUDE=%INCLUDE%;C:\Program Files\Microsoft SDKs\Windows\v7.1A\Include

echo 设置 Visual Studio environment...
"C:\Program Files\Microsoft Visual Studio 11.0\Common7\Tools\vsvars32.bat"

title Command Prompt (MSVC++ 2012)

是的，除了以上的1，2之外，其他应该没啥变化了，照以前的编译方法编译即可。提示：注意debug/release版本和CRT版本哦，见config.nmake文件的LOCAL_LDFLAGS=/DEBUG这一行。

接下来说说1.10.0版本和动态调用libwireshark.dll协议解析库有关的一些变化。

1. 废弃了原来的/epan/libwireshark.def文件和WS_VAR_IMPORT(这个定义在\wireshark-1.8.x/CMakeLists.txt中)，而是采用一种叫做C++ Visibility的技术，这种技术其实我也不懂啦，我只觉得Visibility, Niubility，傻傻分不清楚。。。 学有余力的同学请参考 http://gcc.gnu.org/wiki/Visibility。相关的宏定义在/ws_symbol_export.h中。

这会影响到我们调用时头文件的一些声明，我建议在wireshark调用函数声明所在的头文件的最上面，#include ws_symbol_export.h。比如：

#if WIRESHARK_VERSION == WIRESHARK_1_10_0
    #include "ws_symbol_export.h"
#elif (WIRESHARK_VERSION == WIRESHARK_1_8_6 || WIRESHARK_VERSION == WIRESHARK_1_8_4)
    // see \wireshark-1.8.4\CMakeLists.txt, #481
    #define WS_VAR_IMPORT       __declspec(dllimport) extern
#else
    #error 不支持此版本的wireshark
#endif

2. 解析器执行函数epan_dissect_run()的第2个参数从void* pseudo_header改为struct wtap_pkthdr *phdr，这可是核心函数啊啊啊。。。必须要改，而且要多#include一个/wiretap/wtap.h。在你自己程序的具体调用的代码中，也要初始化好这个结构哦

3. （不关心IP地址查询的同学可能不需要关心第3点。但注意一下是好事）GeoIP模块的初始化不再放在epan_init()中，而是使用一个不可见的回调函数geoip_db_post_update_cb来自动更新GeoIP配置。ChangeLogs里有几个blablabla地注释了一通这种方法的好处，比如配置选项更新后不需要立即重启wireshark就可使改动生效。可尼玛苦了我了。

【以下说法可能不准确，但我确实遇到这问题。】这个改动会造成以下后果：如果你自己的调用程序（也就是调用libwireshark.dll进行解析的程序啦）所在电脑上也安装了wireshark原版，而且wireshark中的GeoIP选项（在Edit/Preferences菜单->Name Resolution->GeoIP database directories）设置了的话，可能会使你的程序只能解析到IP层，就导致运行时断言失败而返回，因为GeoIP相关的指针非法。

做为第3方调用程序，我们无法执行到回调函数。为此我HACK了wireshark源码，在/epan/geoip_db.h & .c中添加了一个导出函数geoip_update_force()，在其中调用geoip_db_post_update_cb，源码如下：

geoip_db.h

/*
 * Hacked by blackboycpp， 2013/06/22
 *
 * for GeoIP bug in wireshark 1.10.0， becaz my app can't call the update callback
 */
WS_DLL_PUBLIC void geoip_update_force(void);

geoip_db.c

// 定义在geoip_db_post_update_cb()下面
void geoip_update_force(void)
{
    const gchar* err;
    uat_load(geoip_db_paths_uat, &err);
    geoip_db_post_update_cb();
}

改完后编译自己的libwireshark.dll。这也意味着你的程序将无法使用原版的libwireshark.dll，因为你改了嘛。

最后记得在你程序的init_dissection()执行之前（或之后？？）调用一下我们HACK上去的这个geoip_update_force()函数。