MFC+WinPcap编写一个嗅探器之六（分析模块）

这一节是程序的核心，也是最复杂的地方

首先需要明白的一点是，一般对于一个有界面的程序来说，往往需要多线程。本程序中除了界面线程外，抓包需要另外创建一个新的线程。在写抓包函数之前，首先要将前面两个模块的结果返回到主对话框界面对应的类实现中，在SnifferDlg.cpp中，修改之前增加的两个模块的触发函数如下：

void CSnifferDlg::OnAdp()
{
    // TODO: 在此添加命令处理程序代码
    CAdpDlg adpdlg;
    if(adpdlg.DoModal() == IDOK)
    {
        m_pDevice = adpdlg.returnd();
    }
}

void CSnifferDlg::OnFilter()
{
    // TODO: 在此添加命令处理程序代码
    CFilterDlg filterdlg;
    if(filterdlg.DoModal() == IDOK)
    {
        int len =WideCharToMultiByte(CP_ACP,0,filterdlg.GetFilterName(),-1,NULL,0,NULL,NULL); 
        WideCharToMultiByte(CP_ACP,0,filterdlg.GetFilterName(),-1,m_filtername,len,NULL,NULL );
        
    }
}

 前一个函数是在打开选择适配器窗口后，在用户选择完网卡后，将选择的网卡返回到主界面的类实现中；后一个函数是在打开设置过滤规则后，将过滤规则的字符串返回到主界面的类实现中。也许你对第二个函数中的两个函数不太明白，这是一个宽字符转换为多字符的函数，就只需了解其中两个参数即可，其它的复制粘贴，函数是这样使用的。获得了前两个模块的返回值，就可以来写抓包函数了，创建一个新线程，抓包函数代码如下：

DWORD WINAPI CapturePacket(LPVOID lpParam)
{
    CSnifferDlg *pDlg = (CSnifferDlg *)lpParam;
    pcap_t *pCap;
    char    strErrorBuf[PCAP_ERRBUF_SIZE];
    int res;
    struct pcap_pkthdr *pkt_header;
    const u_char *pkt_data;
    u_int netmask;
    struct bpf_program fcode;

    if((pCap=pcap_open_live(pDlg->m_pDevice->name,65536,PCAP_OPENFLAG_PROMISCUOUS,1000,strErrorBuf))==NULL)
    {        
        return -1;
    }

    if(pDlg->m_pDevice->addresses != NULL)
        /* 获得接口第一个地址的掩码 */
        netmask=((struct sockaddr_in *)(pDlg->m_pDevice->addresses->netmask))->sin_addr.S_un.S_addr;
    else
        /* 如果接口没有地址，那么我们假设一个C类的掩码 */
        netmask=0xffffff; 
        //编译过滤器
        if (pcap_compile(pCap, &fcode,pDlg->m_filtername, 1, netmask) <0 )
        {
            AfxMessageBox(_T("请设置过滤规则"));
            return -1;
        }
        //设置过滤器
        if (pcap_setfilter(pCap, &fcode)<0)
            return -1;

    while((res = pcap_next_ex( pCap, &pkt_header, &pkt_data)) >= 0)
    {

        if(res == 0)
            continue;
        if(!pDlg->m_bFlag)
            break;
        CSnifferDlg *pDlg = (CSnifferDlg *)AfxGetApp()->GetMainWnd(); 
        pDlg->ShowPacketList(pkt_header,pkt_data);
        pDlg = NULL;
    }

    pcap_close(pCap);
    pDlg = NULL;
    return 1;     
}

 解释两个地方，一是怎样控制开始抓包和停止抓包，这里采用了一个bool变量m_bFlag，这个变量初值是FALSE，当点击菜单中的开始捕获变量为true，点击停止捕获变量又变为false。二是当抓完一个包后，又将指针指向主界面的句柄，之后将抓来的数据包的内容在主界面中显示。

主界面中有三个需要显示抓包内容的地方，一是数据包的概略信息，用ShowPacketList函数来实现；二是数据包的详细信息用ShowPacketTree函数来实现；三是数据包的具体内容和统计信息。这三部分是大量相似的代码，主要涉及到对网络协议的分析，用到的主要是判断语句，放到下一节讲吧。

下一节 MFC+WinPcap编写一个嗅探器之七（协议）