基于eBPF技术实现TLS加密的明文捕获
基于eBPF技术实现TLS加密的明文捕获,无需CA证书
eCapture支持tls、bash、mysqld、postgres等模块的信息提取与捕获
支持Linux系统内核4.15以上版本,支持Android系统内核5.4以上版本
不支持Windows、macOS系统
eCapture工作原理和系统架构
https://ecapture.cc/zh/guide/how-it-works.html
eBPF HOOK uprobe实现的各种用户态进程的数据捕获,无需改动原程序
(1).SSL/HTTPS数据导出功能,针对HTTPS的数据包抓取,不需要导入CA证书。
(2).bash的命令捕获,HIDS的bash命令监控解决方案。
(3).mysql query等数据库的数据库审计解决方案。
https://ecapture.cc/zh/guide/introduction.html https://ecapture.cc/zh/guide/how-it-works.html https://ecapture.cc/zh/examples/android.html https://ecapture.cc/zh/examples/docker.html https://ecapture.cc/zh/examples/index.html
Ubuntu20.04 arm64环境
Ubuntu20.04.2.0环境的安装与配置过程 Ubuntu环境Python3版本的更新升级使用方法 Ubuntu安装配置切换Python3版本的解决方法
https://ubuntu.com/#download https://ubuntu.pkgs.org/20.04/ubuntu-updates-multiverse-arm64/查看Linux内核版本
cat /proc/version uname -r uname -a
配置eCapture源码编译环境
mkdir ~/env && cd ~/env wget https://dl.google.com/go/go1.17.13.linux-amd64.tar.gz tar xvf go1.17.13.linux-amd64.tar.gz 或 wget https://golang.google.cn/dl/go1.18.linux-arm64.tar.gz tarxvfgo1.18.linux-arm64.tar.gz vim ~/.bashrc source ~/.bashrc
sudo apt-get install --yes wget git golang build-essential pkgconf libelf-dev llvm-12 clang-12 linux-tools-generic linux-tools-common wget https://golang.google.cn/dl/go1.18.linux-arm64.tar.gz sudo rm -rf /usr/local/go && sudo tar -C /usr/local -xzf go1.18.linux-arm64.tar.gz
for tool in "clang" "llc" "llvm-strip" do sudo rm -f /usr/bin/$tool sudo ln -s /usr/bin/$tool-12 /usr/bin/$tool done
vim ~/.bashrc source ~/.bashrc
git clone https://github.com/ehids/ecapture.git
bpftool安装
sudo apt install linux-tools-5.15.0-53-generic sudo apt install linux-tools-generic
eCapture源码的编译方法
cdecapture make
(1).编译支持core版本的二进制程序
ANDROID=1 make
(2).编译仅支持当前内核版本的二进制程序
ANDROID=1 make nocore
adb push ecapture /data/local/tmp/ adb root adb remount adb shell cd /data/local/tmp chmod 777 ecapture ./ecapture tls
审核编辑:刘清
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。
举报投诉
-
Linux系统
+关注
关注
4文章
609浏览量
29640 -
LINUX内核
+关注
关注
1文章
318浏览量
23051 -
macOS系统
+关注
关注
0文章
9浏览量
1750 -
TLS
+关注
关注
0文章
54浏览量
4872
原文标题:eCapture|Android https明文抓包
文章出处:【微信号:哆啦安全,微信公众号:哆啦安全】欢迎添加关注!文章转载请注明出处。
发布评论请先 登录
相关推荐
热点推荐
软件加密技术和注册机制加密基础
软件加密技术和注册机制加密基础 本文是一篇软件加密技术的基础性文章,简要介绍了软件加密的一些基本常识和一些加密产品,适用于国内软件开发商或者
发表于 07-19 07:33
mbed TLS的目标是什么
前言 mbed TLS(以前称为PolarSSL)是TLS和SSL协议的实现,并且需要相应的加密算法和支持代码。这是双重许可与Apache许可证2.0版(与GPLv2许可也可)。网站上
发表于 07-19 06:11
RT-Thread系统基于SAL接口的TLS实现
Security,安全传输层),TLS是建立在传输层TCP协议之上的协议,服务于应用层,它的前身是SSL(Secure Socket Layer,安全套接字层),它实现了将应用层的报文进行加密后再交
发表于 06-21 11:26
openEuler 倡议建立 eBPF 软件发布标准
eBPF 是一个能够在内核运行沙箱程序的技术,提供了一种在内核事件和用户程序事件发生时安全注入代码的机制,使得非内核开发人员也可以对内核进行控制。随着内核的发展,eBPF 逐步从最初的数据包过滤
发表于 12-23 16:21
基于明文编码加密方案研究
对著名的最优非对称填充加密方案(RSA-OAEP)及其改进方案进行分析发现:(1)这些方案的明文填充机制均采用Hash函数来隐藏明文统计特性,然而Hash函数特有的属性导致RSA-OAEP及其改进
发表于 01-02 14:18
•0次下载
基于明文长度的构建椭圆曲线密码密文的方法
针对存储椭圆曲线密码加密生成的密文与明文相比需要的存储空间较多的问题,提出了一种基于明文长度的构建椭圆曲线密码密文的方法。首先,该方法通过分析椭圆曲线密码加密运算流程,推导出
发表于 01-02 17:19
•0次下载
Firefox浏览器放弃支持加密协议TLS 1.1和以下版本
Firefox浏览器自74.0版本开始,将完全放弃对加密协议TLS 1.0和TLS 1.1的支持。届时,浏览器将通过显示“安全连接失败”错误页面来阻止用户访问不支持TLS 1.2或更高
eBPF是什么以及eBPF能干什么
规则使用基于寄存器的虚拟机来描述包过滤的行为。比较常用的功能是通过过滤来统计流量,tcpdump工具就是基于BPF实现的。而eBPF对它进行了扩展来实现更多的功能。 主要区别如下: 1)允许使用C 语言编写
Linux内核观测技术eBPF中文入门指南
eBPF(extened Berkeley Packet Filter)是一种内核技术,它允许开发人员在不修改内核代码的情况下运行特定的功能。eBPF 的概念源自于 Berkeley Packet Filter(BPF),后者是
什么是TLS加密?TLS加密的功能特点
的数据传输安全。它是SSL(Secure Sockets Layer)协议的后继者,继承并增强了SSL的安全特性,已经成为互联网上加密通信的事实标准。 TLS加密的核心功能和特点包括: 1、数据
socket 加密通信的实现方式
在网络通信中,数据的安全性至关重要。Socket 编程作为网络通信的基础,实现加密通信是保护数据不被窃取或篡改的重要手段。 1. SSL/TLS 加密 SSL(Secure Socke
行业首创!内网服务 TLS 终止方案
ZeroNews 近期推出的重磅功能 -TLS终止(TLS Termination) 能力,无需复杂配置开发,仅通过简单页面配置操作即可实现端到端加密,为企业提供从“被动
ZeroNews 的 TLS 终止方案有何不同?
TLS(传输层安全协议)终止是指在网络代理节点(如反向代理服务器)上结束加密连接的过程。当公网用户通过 HTTPS 访问服务时,流量首先到达代理节点,在此处完成 TLS 解密,再将明文
工商网监
评论