<div dir="ltr">Hi Mike,<div class="gmail_extra"><br><div class="gmail_quote">On Wed, Sep 16, 2015 at 11:10 PM, Michael Acosta <span dir="ltr"><<a href="mailto:mike.acosta@gmail.com" target="_blank">mike.acosta@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">Hi Yang,<br>
<br>
Thank you for the reply.<br>
<br>
I suppose we could try to jump through hoops to disassemble and<br>
otherwise hack around and try to figure out what is happening here,<br>
but it would be a lot more helpful if the PDB were available from the<br>
build that we and some of our customers actually have installed. It's<br>
an open-source package, so I'm not understanding the reluctance of the<br>
build maintainers to package or make available the actual debug<br>
symbols - we're not going to find any secrets that the code doesn't<br>
already tell us.<br></blockquote><div><br></div><div>Except various Windows releases, I never see another software could keep its symbols public as well as its package, especially for a open-source software, it just assumes that you are capable to build it from source and do anything you want. Maybe you could still resort to WinPcap's original author, if lucky, maybe he still keeps the original PDB files. BTW, as what you used is WinPcap's release version, I think you want to be provided with release symbols instead of debug symbols, in order to make the PDB match the binary.</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">
<br>
Since this is a rare bug, it's taken a long time to get a memory dump<br>
from a system in-situ; most of the time it is not feasible to have a<br>
customer take an extended outage to gather the information. Luckily,<br>
we caught this one in-house. This is something I would hope Riverbed<br>
would like to solve, as I've seen in the past similar issues reported<br></blockquote><div><br></div><div>AFAIK, Wireshark (sponsored by Riverbed) has taken control of the WinPcap dev work. I'm not sure if Riverbed would directly dedicate to WinPcap's troubleshooting.</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">
with Wireshark due to NPF.sys. The workaround seems to be to set the<br>
driver to start on demand rather than on boot, but nobody seems to<br>
have a handle on the cause.<br>
<br>
By the way, I'm excited about your npcap project. I plan on testing<br>
with this to see if it's a replacement for WinPCAP 4.1.3 that is more<br>
stable in the ways we use it. In the future, do you plan on making the<br>
full build available, including symbols, on release?<br></blockquote><div><br></div><div>Npcap is supported on Win7 (2008 R2) and later systems, so I think it adapts to your scenario. You can try it on your environment and I would like to fix any bugs if possible if you encountered any. The latest version Npcap is 0.05: <a href="https://svn.nmap.org/nmap-exp/yang/NPcap-LWF/npcap-nmap-0.05.exe">https://svn.nmap.org/nmap-exp/yang/NPcap-LWF/npcap-nmap-0.05.exe</a></div><div>And, it's not hard to include the symbols, they are just lying on my hard disk right now, if you like, I can provide them together with the binaries on my SVN repo:)</div><div><br></div><div>Cheers,</div><div>Yang</div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">
<br>
Thank you again,<br>
<br>
-- Mike<br>
<div><div><br>
<br>
On Wed, Sep 16, 2015 at 4:14 AM, 食肉大灰兔V5 <<a href="mailto:hsluoyz@gmail.com" target="_blank">hsluoyz@gmail.com</a>> wrote:<br>
> Hi Michael,<br>
><br>
> A seemingly viable way would be that you decompile your driver (npf.sys)<br>
> into C code using IDA pro, cross-searched the failing address in IDA and<br>
> WinPcap souce code, you will probably find the wrong line of code.<br>
><br>
> Cheers,<br>
> Yang<br>
><br>
> On Wed, Sep 16, 2015 at 11:56 AM, Michael Acosta <<a href="mailto:mike.acosta@gmail.com" target="_blank">mike.acosta@gmail.com</a>><br>
> wrote:<br>
>><br>
>> Hi,<br>
>><br>
>> We've been using WinPCAP optionally to send GARP frames on Windows<br>
>> server (2008r2 and up), but it sometimes seems to hang in a call. It's<br>
>> not easily reproducible, but I managed to get a kernel memory dump<br>
>> today of the issue - the problem is that we do not have the symbols<br>
>> for 4.1.3 to see what it's doing in WINDBG.<br>
>><br>
>> Can someone provide the symbols to me so we can see what's hanging up<br>
>> here? If we compile on our own, the PDB isn't going to match our<br>
>> running environment, and since it's not easily reproducable we're kind<br>
>> of light on collected kernel data, so just building our own is not an<br>
>> option at this point. We need to see the symbols from the version<br>
>> built and accessible on <a href="http://winpcap.org" rel="noreferrer" target="_blank">winpcap.org</a> in order to make progress here.<br>
>><br>
>> Please let me know if you need more information.<br>
>><br>
>> Thank you,<br>
>><br>
>> --<br>
>> Michael Acosta<br>
>> _______________________________________________<br>
>> Winpcap-users mailing list<br>
>> <a href="mailto:Winpcap-users@winpcap.org" target="_blank">Winpcap-users@winpcap.org</a><br>
>> <a href="https://www.winpcap.org/mailman/listinfo/winpcap-users" rel="noreferrer" target="_blank">https://www.winpcap.org/mailman/listinfo/winpcap-users</a><br>
><br>
><br>
><br>
> _______________________________________________<br>
> Winpcap-users mailing list<br>
> <a href="mailto:Winpcap-users@winpcap.org" target="_blank">Winpcap-users@winpcap.org</a><br>
> <a href="https://www.winpcap.org/mailman/listinfo/winpcap-users" rel="noreferrer" target="_blank">https://www.winpcap.org/mailman/listinfo/winpcap-users</a><br>
><br>
<br>
<br>
<br>
--<br>
Michael Acosta<br>
_______________________________________________<br>
Winpcap-users mailing list<br>
<a href="mailto:Winpcap-users@winpcap.org" target="_blank">Winpcap-users@winpcap.org</a><br>
<a href="https://www.winpcap.org/mailman/listinfo/winpcap-users" rel="noreferrer" target="_blank">https://www.winpcap.org/mailman/listinfo/winpcap-users</a><br>
</div></div></blockquote></div><br></div></div>