# S7Comm - Wireshark dissector - Bug



## Jochen Kühner (24 Oktober 2012)

Hallo Thomas,

Ich habe in Wireshark Logs immer wieder Fehler, das der Dissector ein Telegramm nicht entschlüsseln kann.

Der Screenshot zeigts:


----------



## Thomas_v2.1 (24 Oktober 2012)

Hi Jochen,
kannst du das Telegramm als pcap mal anhängen?

In deinem Screenshot scheint die Längenangabe bei dem der Fehler kommt 0x20 zu sein wenn ich das richtig entziffere, das wären 32/8 = 4 Bytes. Sollte eigentlich passen.


----------



## Thomas_v2.1 (24 Oktober 2012)

Ich habe mir gerade mal die aktuelle Wireshark Version 1.8.3 installiert, dort erhalte ich den gleichen Fehler. Es ist sogesehen kein Bug im meinem Dissector, sondern es hat sich an der Wireshark internen Schnittstelle etwas geändert. Da muss ich mich erstmal schlau machen was es da für Änderungen gab.

Ich werde bei Gelegenheit den Dissector mal mit einer aktuellen Wireshark Version und dem gleichem C++ Compiler übersetzen, dann wird es wohl wieder funktionieren.
Kann aber etwas dauern, das ist relativ aufwändig einzurichten.

Vorher hatte ich die Version 1.4.1 laufen, da war noch alles OK. Ich meine mit dem 1.6er Release von Wireshark war das auch noch kompatibel.
Wenn es garnicht geht, musst du vorübergehend eine ältere Wireshark Version installieren.


----------



## Jochen Kühner (24 Oktober 2012)

Vielleicht kannst du wenn du dabei bist auch eine 64 Bit Version compilieren? ;-)


----------



## Thomas_v2.1 (24 Oktober 2012)

Jochen Kühner schrieb:


> Vielleicht kannst du wenn du dabei bist auch eine 64 Bit Version compilieren? ;-)



Also die 32 Bit Version habe ich jetzt erstellt, sieht bisher gut aus. Ich habe die dll hier mal angehängt, vielleicht kannst du bei dir mal testen ob das mit deiner Version läuft. Ich habe zu Hause keinen Rechner mit 64 Bit, aber Wireshark brauchst du eh die 32 Bit Version.

Ich habe es jetzt mit dem VS2010 übersetzt, vorher habe ich das mit dem steinalten VC6 gemacht. Ich muss mal sehen ob ich mit der Express Version auch von einem 32 Bit OS auf 64 Bit übersetzen kann. Nachteil ist dass ich für 64 Bit nicht testen kann ob alles funktioniert, da bin ich auf Leute angewiesen die sowas zur Verfügung haben.


----------



## Jochen Kühner (24 Oktober 2012)

Kanns zur not auch selbst übersetzen...  Testen kann Ichs leider erst morgen... Melde mich...


----------



## Thomas_v2.1 (24 Oktober 2012)

Jochen Kühner schrieb:


> Kanns zur not auch selbst übersetzen...  Testen kann Ichs leider erst morgen... Melde mich...



Nur ist das "mal gerade eben" nicht gemacht. Damit man das plugin übersetzen kann musst du vorher das komplette Wireshark übersetzen. Dazu braucht es aber noch etliche Tools:
http://www.wireshark.org/docs/wsdg_html_chunked/ChSetupWin32.html

Die Anleitung passt bis auf ein paar Kleinigkeiten aber ganz gut.

Eine Stelle musste ich in meine plugin Quellcode ändern. Wundert mich dass es überhaupt, wenn auch teilweise, mit der neuen Version funktioniert hat.


----------



## klaly (2 Juli 2013)

Hallo Thomas, 
gibt es das Plugin nun auch für 64Bit ?

Falls Ja,    --> wo kann ich es bekommen. 
Falls Nein, --> :-( 

Auf jeden Fall erst mal vielen Dank für das nützliche (32-Bit Tool). 
Und für die Arbeit die du damit hattest, bzw. hast.


mfG. Klaus Loy


----------



## klaly (2 Juli 2013)

Zur Info, 

nach weiter Sucherei über Dr. Google kamen folgende Links zum Vorschein: 

1. Hier ist 32 Bit Version zu finden:
http://sourceforge.net/projects/s7commwireshark/

2. Hier gibt es die 32-Bit und die 64-Bit Version:
http://sourceforge.net/projects/s7commwireshark/files/s7comm-0-0-3/

Das 64-Bit Plugin funktioniert unter Win7 64Bit  

Bitte verzeiht die vorherige Frage, ob, wann, wo, ...
Die Links habe ich nun hier rein gesetzt in der Hoffnung, das sie für einen anderen nützlich sind.

mfG. Klaus Loy


----------



## klaly (2 Juli 2013)

Da bin ich schon wieder, 

wie gesagt Plugin funktioniert mit Wireshark Version V1.6.7

Zur Info:
Das S7Comm Plugin scheint aber nicht zu funktionieren mit Wireshark Version V1.10.0, getestet mit 32 und 64-Bit. 
Die DLL wird vermutlich geladen, sichtbar in About/Plugin Dialog. 
Aber der Filter ist nicht wirksam.  ???
Womöglich mache ich auch was falsch.

Für mich ist es kein Problem, dann nehm ich halt einfach die ältere Wireshark Version.

mfG. Klaus Loy


----------



## Thomas_v2.1 (2 Juli 2013)

Hi Klaus,

wahrscheinlich musst du den integrierten Dissector für das "T.125" abwählen. Die Integrierten bekommen einen Vorzug vor den nachgeladenen.

Das geht über das Menü: Analyze->Enabled Protocols

Steht auch so in der readme.txt bzw. liesmich.txt auf der Download-Seite bei sourceforge.


----------



## klaly (2 Juli 2013)

Hallo Thomas, 

alles klar, daran lag es. 
Es ging halt bei einem Kollegen nicht, worauf hin ich ihm einfach erst mal zu einer älteren Version geraten habe, mit der es bei mir funktionierte. 
So hatte ich das Problem nicht näher untersucht und dachte, es könne am "brandneuen" Wireshark liegen. 

Der neue Wireshark sieht richtig aufgepeppt aus, mit neuen schönen Icons. 
Da dein Filter darauf läuft, werde ich mir den neuen WS gleich mal installieren.

Vielen Dank für deine schnelle Antwort.

mfG. Klaus Loy


----------

