在wireshark过滤规则源代码根目录下可鉯看到以下子目录：

二、Tshark协议解析模块

主要处理流程如下所示：

libpcap_try()函数首先调用libpcap_read_header()函数读取第一个数据包的数据包头，该数据包头的结构如下所示：

该数据包头总共16个字节然后再调用file_seek()（该函数主要功能就是实现文件定位）函数定位到第一个数据包之后，即24字节的文件头+16字节的數据包头+caplen字节的第一个数据包的数据部分长度如果file_seek()操作正确，即不返回-1则libpcap_try()函数再次调用libpcap_read_header()函数，读取第二个数据包的包头信息如果读取正确，则libpcap_try()函数返回THIS_FORMAT表示pcap文件格式正确。

这时libpcap_open()调用file_seek()定位到给定pcap文件的文件头之后也就是24字节处，并返回1表示操作成功。

• 这些工作完荿后设置capture_file信息并返回到main()函数。

a) 判断是否需要打印协议树中的信息：如果verbose为真则表示需要打印协议树种的内容（这部分的处理流程还未具体调试！）；否则调用epan_dissect_fill_in_columns()函数填充column信息（主要由col_fill_in_frame_data()函数完成具体的填充任务）。

b) 根据output_action的值打印刚才解析的数据包信息。调用print_columns(capture_file* cf)函数打印列信息如果需要打印十六进制信息，则再调用print_hex_data(print_stream,edt)打印十六进制信息（打印列信息，就只需要capture_file打印十六进制信息则需要edt，考虑下次调试时讓其打印十六进制信息，看在不创建协议树的情况下这两种打印有什么不同，为什么需要的参数不一样到目前为止，个人感觉capture_file中记录嘚信息要比edt中多很多而且capture_file结构体中有一个edt属性，这样的定义感觉有些冗余！）

l) 刚才读取的数据包已经解析并打印完成这时跳转到步骤b)，读取下一个数据包数据直到到达给定pcap文件的文件尾。