Apparently bit 0x80 of a SAMR domain handle is the permission to look
up alias members.

svn path=/trunk/; revision=7178

Don't return a success/failure value from a function if we're not going
to check the value, or if we always return "success".

Have "dissect_cops_object()" check for a bogus object length and give
up, returning an error indication, if it gets one.  Also don't store the
object length in a guint16, as we might round it up to a multiple of 4,
and if it's 65535, it gets rounded up to 0, not 65536, if it's 16 bits
long.

Have "dissect_cops_pr_objects()" check for a bogus object length and
give up if it gets one.  Also don't store the object length in a
guint16, as we might round it up to a multiple of 4, and if it's 65535,
it gets rounded up to 0, not 65536, if it's 16 bits long.

If "dissect_cops_object()" returns a "bogus length" indication, stop
dissecting.

If we've fetched a value, don't fetch it again to pass it to
"proto_tree_add_uint()".  If we haven't fetched the value, don't fetch
it to pass it to "proto_tree_add_uint()", use "proto_tree_add_item()".

svn path=/trunk/; revision=7177

Move packet-c into alphabetically correct posision in Makefile.*
Remove comma after last element in enum.

svn path=/trunk/; revision=7176

At least in regular SMB Browse and RAP messages, the server type mask is
not guaranteed to be aligned on a 4-byte boundary, so, if we're not
dissecting a DCE RPC request or reply, don't use "dissect_ndr_uint32()"
to extract the access mask.

svn path=/trunk/; revision=7175

Updates from Devin Heitmueller to add a framework to handle TLVs, and to
handle "oncoming buddy" and "signon" TLVs.

svn path=/trunk/; revision=7174

Don't try to put the policy handle name into the Info column if we don't
have a policy handle name.

svn path=/trunk/; revision=7173

Updates from Greg Morris:

1. Added a number of NCP Error return values.
2. Added ability to pass byte strings to summary window.
3. Modified file NCP's to reflect file handle in summary window.
4. Changed all NCP's using QueueID from big endian to little endian.
This is different from Novell's NCP documentation but matches same
information obtained from NDS dissector.
5. Added over 50 more NDS error return values.
6. Partially fixed NDS Request verb 6 (Search Entries)

svn path=/trunk/; revision=7172

From Brad Hards: initial rsync support.

svn path=/trunk/; revision=7171

Remove hidden hf_rpl_type field from top level tree and add it to
rpl_tree subtree since this produces some weird thing like abort
in "Protocol Hierarchy Statistics".

svn path=/trunk/; revision=7170

From Didier Gautheron: fix desegmentation code to handle sequence number
overflow.

svn path=/trunk/; revision=7169

From Martijn Schipper: fix the tag for the 802.11g ERP Information field
to match draft 6.1 of the 802.11g spec.

svn path=/trunk/; revision=7168

Sigh.  It appears that atmsnoop might, at least for some packets, put 4
bytes of padding into the packet (possibly more, as if it's putting
extra stuff in the padding as Shomiti/Finisar Surveyor does, it might be
up to 7).  Fortunately, Surveyor puts lots of stuff into the padding, so
we'll crank up the "snoop vs. Surveyor" check to look for 4 or more
bytes.

svn path=/trunk/; revision=7167

Fixed a bug in the calculation of number of routing contexts.

svn path=/trunk/; revision=7166

Update to version Feb, 9th

svn path=/trunk/; revision=7165

Turn off -x

svn path=/trunk/; revision=7164

Add a function to dissect service contexts whose values don't
necessarily use the section 15.3.3 encapsulation rules, and use that to
dissect service contexts with unknown IDs.

svn path=/trunk/; revision=7163

Add a dissector for the CodeSets service context.

Pass "encapsulation_boundary", not "seqlen_cd", as the boundary argument
to the dissector for RTCorbaPriority.

svn path=/trunk/; revision=7162

In gtk2, the "changed" signal is sent by the GtkTreeSelection, not the
GtkTreeView.

svn path=/trunk/; revision=7161

Small explanation for why MS created their own KRB5 OID value.

svn path=/trunk/; revision=7160

In gtk2 code, replace gdk_string_width() with the "Pango" way of
computing strings width and height.

svn path=/trunk/; revision=7159

Dissect the server type bitfield in NetServerGetInfo for SERVER_INFO_101
and SERVER_INFO_102.

Modify all callers to use the new interface.

svn path=/trunk/; revision=7158

According to ITU/X.25 (refer to table G.2), only the bits 1 to 6
represent the number of semi-octets in the calling/called address
extension facility. So bits 7 and 8 shall be masked.
This fix avoids an incorrect detection of malformed packets.

svn path=/trunk/; revision=7157

Fix a comment to more accurately describe what the statement following
it does.

svn path=/trunk/; revision=7156

Comment out usage for obsolete configure args support

svn path=/trunk/; revision=7155

From Mike Frisch: add support for zero-length file handles (such as the
WebNFS root file handle).

svn path=/trunk/; revision=7154

From Olivier Biot:

 - Move all static definitions from packet-wbxml.h to packet-wbxml.c
 - Comment out inclusion of packet-wbxml.h in packet-wbxml.c
 - Append WBXML + version + public ID to the Info column

Then, while we're at it, get rid of packet-wbxml.h (we can reinstate it
if there's any functionality to export other than the dissector) and get
rid of the include of packet-wbxml.h (and update comments not to refer
to it).

svn path=/trunk/; revision=7153

From Brad Hards: put the XID into the protocol tree with a length of 2,
and fix some typos in field names.

svn path=/trunk/; revision=7152

Don't have "decode_UnknownServiceContext()" put the service context
ID subfields into the tree - do that in "decode_ServiceContextList()",
and put them under the item for the entire service context ID.  Given
that, we don't need to pass it the encapsulation byte order and
alignment information, either.

Don't have it fetch the sequence length, either; just pass it the
sequence length as an argument.

When we create an item for the service context ID, get a string for the
service context name based on the entire service context ID, not just on
the SCID.

After dissecting the service context data, advance the offset to point
past the end of the context_data.

svn path=/trunk/; revision=7151

More cleanups - nearly done!

svn path=/trunk/; revision=7150

Move some constants here from packet-dcerpc-spoolss.c

svn path=/trunk/; revision=7149

Display the policy handle name in COL_INFO for the ClosePolicy RPC.

Change the policy names slightly so they look nicer.

svn path=/trunk/; revision=7148

Display user name in COL_INFO for ServerAuthenticate2 request.

Add note about putting DOMAIN\Username in COL_INFO when dissecting
LOGIN_IDENTITY_INFO (part of SamLogon RPC).

svn path=/trunk/; revision=7147

Put info level in COL_INFO for DsRoleGetDomInfo RPC.

svn path=/trunk/; revision=7146

From Didier Gautheron:

further fixes to the TCP graph code's cross handling;

fix to sequence number overflow problems.

svn path=/trunk/; revision=7145

Properly set the ACE type in the summary line for an ACE - and, while
we're at it, avoid going past the end of a packet.  Put the ACE type's
hex value into that line if it's an unknown type.

svn path=/trunk/; revision=7144

From Olivier Biot: README.win32 updates for Cygwin.

svn path=/trunk/; revision=7143

Comment out unused variables

svn path=/trunk/; revision=7142

From Craig Rodrigues and Bernd Becker (merger of their patches, from
Craig):

- correct bitmask for hf_giop_iop_vscid and hf_giop_iop_scid,
  reflecting the change to a 24bit vendor id and 8 bit service id
- set the length of the "Service Context List" tree correctly
  after dissecting.  The length was just being set to the end of
  the tvb
- do not exit the loop through the Service Context List with
  return if the sequence length is 0, continue the loop instead.
  This should fix a problem reported by Mika Korpela.
  (see
  http://www.ethereal.com/lists/ethereal-dev/200205/msg00234.html)

svn path=/trunk/; revision=7141

Make doc/Makefile.nmake work in POSIXLY_CORRECT environment, as per
Santeri Paavolainen's changes to make doc/Makefile.am work in such an
environment.

Move the idl2eth rules above the mergecap rules, to match the way
doc/Makefile.am works.

svn path=/trunk/; revision=7140

From Santeri Paavolainen: fix for the following problems:

- BRR packets were incorrectly labeled as BE packets
- Pad1 options had their length handled incorrectly

svn path=/trunk/; revision=7139

From Didier Gautheron: fix up the handling of the cross.

svn path=/trunk/; revision=7138

From Olivier Biot:

Decoding of WML 1.0 and PROV 1.0.

Now the following content types are decoded and rendered:
  - WML: 1.0, 1.1, 1.2, 1.3
  - SI: 1.0
  - SL: 1.0
  - CO: 1.0
  - PROV: 1.0

svn path=/trunk/; revision=7137

Mark pinfo parameter as unused

svn path=/trunk/; revision=7136

Put in a missing comma in a list of strings, so we don't get two strings
concatenated.

svn path=/trunk/; revision=7135

Fetch the time stamp into a gint32, as it's known to be 32 bits, and let
the call to "abs_time_secs_to_str()" convert it to a "time_t".

svn path=/trunk/; revision=7134

Cast "timeval" to "long", and print it with "%ld", to handle "time_t"
being an "int" or a "long".

svn path=/trunk/; revision=7133

From Craig Rodrigues: decode the priority value put into the service
context field by Real-time CORBA.

Update his e-mail address while we're at it.

svn path=/trunk/; revision=7132

From Jochen Friedrich:

Fixed handling of NLP header in SNA
XID handoff table for LLC, and XID dissection for SNA format 3
HPR optional segments in SNA
Most important control vectors in SNA
Route setup messages in SNA
Additional LLC DSAPs for SNA

svn path=/trunk/; revision=7131

From Didier Gautheron: add AFP3 setforkparam 64 bits parameters.

svn path=/trunk/; revision=7130

From Olivier Biot:

add string table parsing and displaying;

add registration to more content types;

LITERAL tag indentation fix;

add and a change in unrendered WBXML: from confusing "<Tag
0x37>" type display to "<Tag_0x37>" (and same in attribute
state).

svn path=/trunk/; revision=7129

From Santeri Paavolainen: make doc/Makefile.am work in POSIXLY_CORRECT
environment.

svn path=/trunk/; revision=7128

From Matthew Smart: partial NetFlow V9 support.

svn path=/trunk/; revision=7127

WBXML updates, and e-mail address update, from Olivier Biot.

svn path=/trunk/; revision=7126

Make the argument to "abs_time_secs_to_str()" a "time_t" - it's in ANSI
C, and it's the right thing to pass to "localtime()".

svn path=/trunk/; revision=7125

Add a "abs_time_secs_to_str()" routine that takes a UNIX time-since-the-
epoch-in-seconds value and converts it to a string.

Use that routine in the RADIUS dissector, rather than using "ctime()"
and "tzname[]" - "tzname[]" strings might contain non-ASCII characters,
which currently give the GTK+ 1.3[.x] used on Windows, and also, I
think, GTK+ 2.x, heartburn, as they expect UTF-8, not, for example, ISO
8859/1.

Fix the string length in "abs_time_to_str()".

svn path=/trunk/; revision=7124

The Novell Web site's information for Scan Directory Disk Space appears
to be correct; remove the comment about what was there not matching.

Note that the PropertyValue item in a Write Property Value request
should perhaps be omitted if MoreFlag isn't set (it appears to be
garbage if it's not set).

svn path=/trunk/; revision=7123

Decorate ACE items in an ACL with the SID and flag values.

svn path=/trunk/; revision=7122

More cleanups.

Added name parameter and add_subtree boolean to dissect_SYSTEM_TIME()

Decorate COL_INFO with changeid and notify information for print
notify RPCs.

svn path=/trunk/; revision=7121

Future releases of libpcap probably won't install <net/bpf.h>, so we
shouldn't require it to exist.  Instead, as we're already checking
whether we can find <pcap.h> (which is the only thing we actually
include - we rely on it to include whatever BPF headers are necessary),
we print the big "are you sure you installed the development package?"
message if we don't find "pcap.h".

svn path=/trunk/; revision=7120

When putting the lowest-level protocol tree item in for a Unicode
string, use the "fake Unicode" value for it.

svn path=/trunk/; revision=7119

Decorate the top-level item for a PRIV_NAME_ARRAY with the privilege
names.

svn path=/trunk/; revision=7118

Boost the memory allocation so we can compile "help_dlg.c" which
includes "FAQ.include" as a giant string containing the entire FAQ.

svn path=/trunk/; revision=7117

Don't tell the resolver code that a given MAC address corresponds to a
given IP address if:

the MAC address is non-unicast, not just if it's broadcast;

the MAC address is all zeroes;

the IP address is all zeroes.

*Do* tell the resolver code that the target MAC address corresponds to
the target IP address in ARP replies, as long as none of the above are
true - replies are the packets most likely to contain interesting target
address information.

svn path=/trunk/; revision=7116

Note that one shouldn't put a comma after the last element of an enum.

svn path=/trunk/; revision=7115

In dissect_ndr_cvstring(), return string data even if tree == NULL.

svn path=/trunk/; revision=7114

Deleted dissect_unistr2() function - call dissect_ndr_cvstring() instead.
Hooray - I think that's the last of the spoolss specific string routines
cleaned up.

Cleanup of print notify dissections:

 - rename hf variable names
 - added 'job total bytes' and 'job bytes printed' filter fields
 - fixed bug dissecting job notify data introduced when converting to NDR
   routines
 - add hidden values for notify data so that filtering on (say) printer
   name brings up notify data that references it
 - decorate some higher level print notify proto_items to make things look
   pretty

Add printer name to ReplyOpenPrinter policy handle name.

svn path=/trunk/; revision=7113

Update some comments.

svn path=/trunk/; revision=7112

Cleanup of printer forms dissection:

 - display more data in COL_INFO

 - replaced per-RPC level fields with generic spoolss.form.level one

 - put the form type value string into the hf initialisation instead
   of displaying it by hand using proto_tree_add_text

 - added hidden field for all forms RPCs (filter on spoolss.form to get
   all form related RPCs)

 - removed useless dissect_form_name() function

svn path=/trunk/; revision=7111

Use new format of dissect_ndr_cvstring() function.

svn path=/trunk/; revision=7110

Allow dissect_ndr_cvstring to return a malloced copy of the string.

svn path=/trunk/; revision=7109

Added a comment about the length argument to fake_unicode.  It should be
the number of guint16's to convert from unicode.

Allow dissect_ndr_cvstring to return a malloced copy of the string.

svn path=/trunk/; revision=7108

Have "dissect_ndr_counted_string()" add 2, not 1, to its argument, as it
adds 2 levels to the tree.  Fix calls to it not to add 1 for that level.

The NT and LM challenges in a NETWORK_INFO structure are opaque arrays
of bytes, not Unicode strings; dissect them as such, adding a new
routine "dissect_ndr_counted_byte_array()" for that purpose.

Get rid of some extra colons in names - the colon is put there if a
string is appended, so putting a colon in there explicitly gives double
colons.

Decorate some higher-level tree nodes with strings.

svn path=/trunk/; revision=7107

At least in regular SMB requests, the access mask in an ACE is not
guaranteed to be aligned on a 4-byte boundary, so, if we're not
dissecting an ACE from a DCE RPC request or reply, don't use
"dissect_ndr_uint32()" to extract the access mask.  (Is it guaranteed to
be so aligned even if the ACE is part of a DCE RPC message?  Or are ACLs
just opaque blobs from the point of view of DCE RPC?)

Use "%u", not "%d", to print unsigned quantities.

svn path=/trunk/; revision=7106

Update URLs for NCP documentation.

svn path=/trunk/; revision=7105

0xff00 is a valid completion code for Keyed Object Login requests.

svn path=/trunk/; revision=7104

Add a preference to control whether to attempt to un-mangle Linux
token-ring headers; sometimes a header might look mangled when it's not.

(It'd be nice if we could detect that from the capture file;
unfortunately, there are already both mangled Linux libpcap captures
and, presumably, un-mangled non-Linux libpcap captures with the same
DLT_ value.)

svn path=/trunk/; revision=7103

Make the request frame number field an FT_FRAMENUM.

0xff00 is a valid reply to "Get Name Space Information".

svn path=/trunk/; revision=7102

Fix a typo in the "Defined Name Spaces" field name.

Properly display the reply to a Get Name Space Information request -
there is a sequence of name space names, and a sequence of pairs of
{associated name space, data stream name}, and there are also sequences
of name space index numbers, but if we try to display anything after the
list of loaded name spaces, nothing gets displayed at all.

svn path=/trunk/; revision=7101

Provide a way for ftype modules to provide a string representation
of their value. Provide such a method for FT_BYTES, FT_UINT_BYTES,
and FT_ETHER. Have proto_alloc_dfilter_string() use the new methods.

This is part of a movement of ftype-related code out of proto.c and
into the ftype code. The immediate effect is that generated display
filters for long byte sequences don't incorrectly have trailing periods
("...") to indicate continuation.

svn path=/trunk/; revision=7100

The hour and minute fields of times go from 0 to 23 and 0 to 59, so
adding 1 to them is incorrect (and cannot possibly be correct, as that'd
rule out 0 as valid values, meaning nothing can ever happen in the first
hour after midnight or in the first minute after the hour).

svn path=/trunk/; revision=7099

Force the endianness of the dates and times in DirectoryInstance and
FileInstance to big-endian.

Those structures apparently contain a last access date rather than a
creation time.

svn path=/trunk/; revision=7098

Fix some comments.

svn path=/trunk/; revision=7097

Rename "dissect_ndr_char_string()" and "dissect_ndr_wchar_string()" to
"dissect_ndr_char_cvstring()" and "dissect_ndr_wchar_cvstring()", to
indicate that they're for conformant varying strings.

Rename "dissect_ndr_character_array()" to "dissect_ndr_cvstring()", to
indicate that it's for conformant varying strings.

svn path=/trunk/; revision=7096

Rename "dissect_ndr_char_array" and "disect_ndr_wchar_array" to
"dissect_ndr_char_string" and "dissect_ndr_wchar_string", to make it
clearer what it does.

svn path=/trunk/; revision=7095

From Thierry Pelle: updates (use the correct RFC 2472 term - "interface
identifier", not "interface token" - and print the octets of the
interface identifier with zero padding).

svn path=/trunk/; revision=7094

Thou Shalt Not Ever Make An Offset An 8-bit Quantity If Thou Art
Comparing It Against An 8-bit Or Longer Length To Make Sure It Doesn't
Go Past The Length, because if the length is 255, it can't ever go past
it as it'll overflow if it does.

svn path=/trunk/; revision=7093

Catch ReportedBoundsError when dissecting even non-encrypted stub data,
so that even if the stub data is bad, we still dissect and show the
verifier.

svn path=/trunk/; revision=7092

Fix a typo in the multiple-include protection in "packet-dcerpc-nt.h".

Rename "dissect_ndr_element_array()" to "dissect_ndr_character_array()",
move it out of "packet-dcerpc-nt.c" to "packet-dcerpc.c", and have it
use the standard DCE RPC array max count/offset/count fields rather than
their own private versions of those fields.  Give it an option to create
a subtree, and an argument to specify the field to use for the actual
data buffer, and export it.

Move the routines for handling arrays of "char" and "wchar" as strings
out of "packet-dcerpc-nt.c" to "packet-dcerpc.c".

Add a routine to handle an array of "char" as an opaque blob of bytes.

Use "dissect_ndr_character_array()" to dissect character strings in MAPI
(the strings in question are ASCII, not Unicode), and use the routine to
handle an array of "char" as an opaque blob of bytes to dissect
encrypted data (again, it's bytes, not 16-bit quantities).  Show them as
encrypted data, not unknown data.

Use "dissect_ndr_character_array()" to dissect a form name in
"dissect_form_name()" in the SPOOLSS dissector.

svn path=/trunk/; revision=7091

Decorate several layers of the tree with the account name in
"USER_INFO_21" and in "LOOKUP_NAMES".

svn path=/trunk/; revision=7090

Decorate the top-level items for the account name in
POLICY_ACCOUNT_DOMAIN_INFO and the domain in TRUSTED_DOMAIN with the
string.

svn path=/trunk/; revision=7089

Decorate the top-level tree items for "LSA_TRANSLATED_NAME" and an
"LSA_TRUST_INFORMATION" with the account name.

svn path=/trunk/; revision=7088

Fix callers to dissect_nt_sec_desc() to use new function interface.

Dissection of security descriptors in SPOOLSS RPC calls now display
the correct meaning of the specific access mask bits.

svn path=/trunk/; revision=7087

Move dissect_nt_access_mask() from packet-dcerpc-nt.c to packet-smb.c

Give dissect_nt_sec_desc() and dissect_nt_access_mask() a specific rights
function parameter for dissecting specific access rights.

Fix callers in packet-smb.c to use the new interface.

svn path=/trunk/; revision=7086

Add the RFC 3203 FORCERENEW message type, as suggested by Suresh K.

svn path=/trunk/; revision=7085

From Olivier Biot: WBXML/WMLC support.

svn path=/trunk/; revision=7084

The "Subdirectory" bit in search attributes means "subdirectories only",
and in file attributes means "this is a subdirectory"; don't mix the
two.

The 1-byte and 2-byte search attributes appear to have the same bit
definitions (except, obviously, for those that are in the topmost byte).

svn path=/trunk/; revision=7083

- protect against multiple inclusion
- remove incorrect and unused definition
  of tapping_is_active

svn path=/trunk/; revision=7082

Various XXXDirectoryID values always appear to be big-endian (including
the ones not specified as such when used), so declare them as such
rather than specifying them as such when used.

The SearchSequenceWord also appears to be big-endian.

Note that we're not cracking the bits of a DirectoryAttributes field.

The "Subdirectory" bit in search attributes is really "Subdirectories
Only", as in "just show me subdirectories".

Note some confusion about whether the bit numbers on the Novell Web site
for search attributes are bit numbers or bit flags.

Note that we appear to have gotten back attributes for a file rather
than a directory in at least one search that had "Subdirectories Only"
set - unless the problem is that the numbers in the Novell spec are bit
numbers rather than bit flags.

Update some items that claimed to have a 2-byte search attributes field
to have a 1-byte search attributes field instead, to match the spec on
the Novell site (of course, the spec could be wrong...).

svn path=/trunk/; revision=7081

An object of type 0x5555 is apparently a "Site Lock".

svn path=/trunk/; revision=7080

Sometimes the trace stuff doesn't appear in connect messages.

svn path=/trunk/; revision=7079