Download
1 / 27
270 likes | 475 Views
基于 Wireshark 的反病毒网络分析器开发 Antiy Labs k.y.wang.1911@gmail.com 2007.12.14. ChinaUnix 讲座. 主题大纲. Wireshark 简介 嵌入 AVLSdk 反病毒引擎 经验 / 技巧. 主题大纲. Wireshark 简介 概述 在 Linux 环境下编译 Wireshark Wireshark 代码布局 解析器 嵌入 AVLSdk 反病毒引擎 经验 / 技巧. 概述. Wireshark 是目前最好的开源网络协议分析器 700 多个协议解析插件 功能丰富.
E N D
基于Wireshark的反病毒网络分析器开发 Antiy Labs k.y.wang.1911@gmail.com 2007.12.14 ChinaUnix 讲座
主题大纲 • Wireshark 简介 • 嵌入AVLSdk反病毒引擎 • 经验/技巧
主题大纲 • Wireshark 简介 • 概述 • 在Linux环境下编译Wireshark • Wireshark代码布局 • 解析器 • 嵌入AVLSdk反病毒引擎 • 经验/技巧
概述 • Wireshark是目前最好的开源网络协议分析器 • 700多个协议解析插件 • 功能丰富
在Linux下编译Wireshark • Wireshark源码 • http://www.wireshark.org/download/src/ • 编译依赖 • libpcap , flex、yacc、glib2.0,gtk+2.0
在Linux下编译Wireshark • 发行版选择Ubuntu 6.06 • apt-get install <软件包名称> • aptitude • 所需软件包: • build-essential • libpcap0.8 • flex • byacc • libglib2.0-dev • libgtk2.0-dev
在Linux下编译Wireshark • 编译 • ./configure && make && make install
Wireshark代码布局 • Wireshark代码主要目录结构: • gtk • epan • protocol-tree • dissectors • wiretap • plugins • display-filters • ...
协议解析器 • 从数据列表中选中一个包 • 提取包中的数据,写入数据结构中 • 调用协议解析函数epan_dissect_run 进行处理
主题大纲 • Wireshark 简介 • 嵌入AVLSdk反病毒引擎 • AVLSdk简介 • AVL引擎接口 • 嵌入方式 • 经验/技巧
AVLSdk简介 • 反病毒引擎 • 安天实验室自主开发 • 细粒度、可嵌入、跨平台
AVLSDK引擎接口 • 最基本的Buffer扫描
AVLSDK引擎接口 • 检测结果信息结构
嵌入方式 • 成果
主题大纲 • Wireshark 简介 • 嵌入AVLSdk反病毒引擎 • 经验/技巧 • 版本控制 • Vim编辑器 • CheatSheet • Ctags、Taglist • 多窗 • Session • 善用grep
版本控制 • Svn • Hg
Ctags • Ctags • 生成tags • ctags -R ./ • 寻找函数/变量定义: • Ctrl + ] • 返回当前编辑位置 • Ctrl + t
Taglist • :Tlist
多窗 • :help window
Session • Vim Session • 保存 Session • :mksession! session-name • :mkse<Tab>! session-name • 加载 Session • :so session-name • vim -S session-name
善用grep • grep -e <regexp> --color -n -r <path> • 例:grep -e “g_hash_table*” --color -n -r ./
