基于eBPF技術(shù)實現(xiàn)TLS加密的明文捕獲
基于eBPF技術(shù)實現(xiàn)TLS加密的明文捕獲,無需CA證書
eCapture支持tls、bash、mysqld、postgres等模塊的信息提取與捕獲
支持Linux系統(tǒng)內(nèi)核4.15以上版本,支持Android系統(tǒng)內(nèi)核5.4以上版本
不支持Windows、macOS系統(tǒng)
eCapture工作原理和系統(tǒng)架構(gòu)
https://ecapture.cc/zh/guide/how-it-works.html
eBPF HOOK uprobe實現(xiàn)的各種用戶態(tài)進(jìn)程的數(shù)據(jù)捕獲,無需改動原程序
(1).SSL/HTTPS數(shù)據(jù)導(dǎo)出功能,針對HTTPS的數(shù)據(jù)包抓取,不需要導(dǎo)入CA證書。
(2).bash的命令捕獲,HIDS的bash命令監(jiān)控解決方案。
(3).mysql query等數(shù)據(jù)庫的數(shù)據(jù)庫審計解決方案。
https://ecapture.cc/zh/guide/introduction.html https://ecapture.cc/zh/guide/how-it-works.html https://ecapture.cc/zh/examples/android.html https://ecapture.cc/zh/examples/docker.html https://ecapture.cc/zh/examples/index.html
Ubuntu20.04 arm64環(huán)境
Ubuntu20.04.2.0環(huán)境的安裝與配置過程 Ubuntu環(huán)境Python3版本的更新升級使用方法 Ubuntu安裝配置切換Python3版本的解決方法
https://ubuntu.com/#download https://ubuntu.pkgs.org/20.04/ubuntu-updates-multiverse-arm64/查看Linux內(nèi)核版本
cat /proc/version uname -r uname -a
配置eCapture源碼編譯環(huán)境
mkdir ~/env && cd ~/env wget https://dl.google.com/go/go1.17.13.linux-amd64.tar.gz tar xvf go1.17.13.linux-amd64.tar.gz 或 wget https://golang.google.cn/dl/go1.18.linux-arm64.tar.gz tarxvfgo1.18.linux-arm64.tar.gz vim ~/.bashrc source ~/.bashrc
sudo apt-get install --yes wget git golang build-essential pkgconf libelf-dev llvm-12 clang-12 linux-tools-generic linux-tools-common wget https://golang.google.cn/dl/go1.18.linux-arm64.tar.gz sudo rm -rf /usr/local/go && sudo tar -C /usr/local -xzf go1.18.linux-arm64.tar.gz
for tool in "clang" "llc" "llvm-strip" do sudo rm -f /usr/bin/$tool sudo ln -s /usr/bin/$tool-12 /usr/bin/$tool done
vim ~/.bashrc source ~/.bashrc
git clone https://github.com/ehids/ecapture.git
bpftool安裝
sudo apt install linux-tools-5.15.0-53-generic sudo apt install linux-tools-generic
eCapture源碼的編譯方法
cdecapture make
(1).編譯支持core版本的二進(jìn)制程序
ANDROID=1 make
(2).編譯僅支持當(dāng)前內(nèi)核版本的二進(jìn)制程序
ANDROID=1 make nocore
adb push ecapture /data/local/tmp/ adb root adb remount adb shell cd /data/local/tmp chmod 777 ecapture ./ecapture tls
審核編輯:劉清
聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問題,請聯(lián)系本站處理。
舉報投訴
-
Linux系統(tǒng)
+關(guān)注
關(guān)注
4文章
604瀏覽量
28348 -
LINUX內(nèi)核
+關(guān)注
關(guān)注
1文章
317瀏覽量
22222 -
macOS系統(tǒng)
+關(guān)注
關(guān)注
0文章
9瀏覽量
1632 -
TLS
+關(guān)注
關(guān)注
0文章
46瀏覽量
4488
原文標(biāo)題:eCapture|Android https明文抓包
文章出處:【微信號:哆啦安全,微信公眾號:哆啦安全】歡迎添加關(guān)注!文章轉(zhuǎn)載請注明出處。
發(fā)布評論請先 登錄
相關(guān)推薦
熱點推薦
TLSclient如何與測試網(wǎng)站建立TLS連接并獲取加密數(shù)據(jù)?
該示例程序提供了一個簡單的TLSclient,與測試網(wǎng)站建立TLS連接并獲取加密數(shù)據(jù)。
發(fā)表于 03-30 07:41
軟件加密技術(shù)和注冊機制加密基礎(chǔ)
軟件加密技術(shù)和注冊機制加密基礎(chǔ) 本文是一篇軟件加密技術(shù)的基礎(chǔ)性文章,簡要介紹了軟件加密的一些基本常識和一些加密產(chǎn)品,適用于國內(nèi)軟件開發(fā)商或者
發(fā)表于 07-19 07:33
mbed TLS的目標(biāo)是什么
前言 mbed TLS(以前稱為PolarSSL)是TLS和SSL協(xié)議的實現(xiàn),并且需要相應(yīng)的加密算法和支持代碼。這是雙重許可與Apache許可證2.0版(與GPLv2許可也可)。網(wǎng)站上
發(fā)表于 07-19 06:11
STM32+FreeRTOS+LWIP+WolfSSL實現(xiàn)HTTPS
STM32+FreeRTOS+LWIP+WolfSSL 實現(xiàn) HTTPS(超詳細(xì)):如今的物聯(lián)網(wǎng)時代,需要追求數(shù)據(jù)通信的安全性,傳統(tǒng)的 HTTP 是明文傳輸,需要使用 HTTPS 的加密機制才能
發(fā)表于 08-24 08:20
RT-Thread系統(tǒng)基于SAL接口的TLS實現(xiàn)
Security,安全傳輸層),TLS是建立在傳輸層TCP協(xié)議之上的協(xié)議,服務(wù)于應(yīng)用層,它的前身是SSL(Secure Socket Layer,安全套接字層),它實現(xiàn)了將應(yīng)用層的報文進(jìn)行加密后再交
發(fā)表于 06-21 11:26
openEuler 倡議建立 eBPF 軟件發(fā)布標(biāo)準(zhǔn)
eBPF 是一個能夠在內(nèi)核運行沙箱程序的技術(shù),提供了一種在內(nèi)核事件和用戶程序事件發(fā)生時安全注入代碼的機制,使得非內(nèi)核開發(fā)人員也可以對內(nèi)核進(jìn)行控制。隨著內(nèi)核的發(fā)展,eBPF 逐步從最初的數(shù)據(jù)包過濾
發(fā)表于 12-23 16:21
基于明文編碼加密方案研究
對著名的最優(yōu)非對稱填充加密方案(RSA-OAEP)及其改進(jìn)方案進(jìn)行分析發(fā)現(xiàn):(1)這些方案的明文填充機制均采用Hash函數(shù)來隱藏明文統(tǒng)計特性,然而Hash函數(shù)特有的屬性導(dǎo)致RSA-OAEP及其改進(jìn)
發(fā)表于 01-02 14:18
?0次下載
基于明文長度的構(gòu)建橢圓曲線密碼密文的方法
針對存儲橢圓曲線密碼加密生成的密文與明文相比需要的存儲空間較多的問題,提出了一種基于明文長度的構(gòu)建橢圓曲線密碼密文的方法。首先,該方法通過分析橢圓曲線密碼加密運算流程,推導(dǎo)出
發(fā)表于 01-02 17:19
?0次下載
Firefox瀏覽器放棄支持加密協(xié)議TLS 1.1和以下版本
Firefox瀏覽器自74.0版本開始,將完全放棄對加密協(xié)議TLS 1.0和TLS 1.1的支持。屆時,瀏覽器將通過顯示“安全連接失敗”錯誤頁面來阻止用戶訪問不支持TLS 1.2或更高
eBPF是什么以及eBPF能干什么
規(guī)則使用基于寄存器的虛擬機來描述包過濾的行為。比較常用的功能是通過過濾來統(tǒng)計流量,tcpdump工具就是基于BPF實現(xiàn)的。而eBPF對它進(jìn)行了擴展來實現(xiàn)更多的功能。 主要區(qū)別如下: 1)允許使用C 語言編寫
Linux內(nèi)核觀測技術(shù)eBPF中文入門指南
eBPF(extened Berkeley Packet Filter)是一種內(nèi)核技術(shù),它允許開發(fā)人員在不修改內(nèi)核代碼的情況下運行特定的功能。eBPF 的概念源自于 Berkeley Packet Filter(BPF),后者是
基于ebpf的性能工具-bpftrace
在前面我已經(jīng)分享了關(guān)于ebpf入門的文章: 基于ubuntu22.04-深入淺出 eBPF 。 這篇文章介紹一個基于ebpf技術(shù)的強大工具--bpftrace。 在現(xiàn)代計算機系統(tǒng)中,了
什么是TLS加密?TLS加密的功能特點
的數(shù)據(jù)傳輸安全。它是SSL(Secure Sockets Layer)協(xié)議的后繼者,繼承并增強了SSL的安全特性,已經(jīng)成為互聯(lián)網(wǎng)上加密通信的事實標(biāo)準(zhǔn)。 TLS加密的核心功能和特點包括: 1、數(shù)據(jù)
socket 加密通信的實現(xiàn)方式
在網(wǎng)絡(luò)通信中,數(shù)據(jù)的安全性至關(guān)重要。Socket 編程作為網(wǎng)絡(luò)通信的基礎(chǔ),實現(xiàn)加密通信是保護(hù)數(shù)據(jù)不被竊取或篡改的重要手段。 1. SSL/TLS 加密 SSL(Secure Socke
工商網(wǎng)監(jiān)
評論