我正在使用USBPcap 来捕获 USB 设备驱动器和操作系统之间传输的数据,但它会将数据保存在 .pcap 文件中,Wireshark 可以自行读取该文件。我进入了 USBPcap 源代码,但是因为我对 Windows API 一无所知,所以我无法理解源代码,只是在调试时发现了这个文件:
https://github.com/desowin/usbpcap/blob/master/USBPcapCMD/thread.c#L177
我需要原始数据,而不是.pcap 编码文件。我怎么能得到它?
【问题讨论】:
标签: c++ c windows visual-c++
.pcap文件格式很简单,最简单的解决办法就是自己解析或者使用已有的库:https://wiki.wireshark.org/Development/LibpcapFileFormat
USBPcap 使用上述格式:https://github.com/desowin/usbpcap/blob/37a8e3cf12234df96a7e101eec336085dbb3e4c7/USBPcapDriver/include/USBPcap.h#L63
文件头是:
typedef struct pcap_hdr_s {
UINT32 magic_number; /* magic number */
UINT16 version_major; /* major version number */
UINT16 version_minor; /* minor version number */
INT32 thiszone; /* GMT to local correction */
UINT32 sigfigs; /* accuracy of timestamps */
UINT32 snaplen; /* max length of captured packets, in octets */
UINT32 network; /* data link type */
} pcap_hdr_t;
每个数据包的格式为:
typedef struct pcaprec_hdr_s {
UINT32 ts_sec; /* timestamp seconds */
UINT32 ts_usec; /* timestamp microseconds */
UINT32 incl_len; /* number of octets of packet saved in file */
UINT32 orig_len; /* actual length of packet */
} pcaprec_hdr_t;
【讨论】: