基于eBPF技術(shù)實(shí)現(xiàn)TLS加密的明文捕獲
基于eBPF技術(shù)實(shí)現(xiàn)TLS加密的明文捕獲,無(wú)需CA證書
eCapture支持tls、bash、mysqld、postgres等模塊的信息提取與捕獲
支持Linux系統(tǒng)內(nèi)核4.15以上版本,支持Android系統(tǒng)內(nèi)核5.4以上版本
不支持Windows、macOS系統(tǒng)
eCapture工作原理和系統(tǒng)架構(gòu)
https://ecapture.cc/zh/guide/how-it-works.html
eBPF HOOK uprobe實(shí)現(xiàn)的各種用戶態(tài)進(jìn)程的數(shù)據(jù)捕獲,無(wú)需改動(dòng)原程序
(1).SSL/HTTPS數(shù)據(jù)導(dǎo)出功能,針對(duì)HTTPS的數(shù)據(jù)包抓取,不需要導(dǎo)入CA證書。
(2).bash的命令捕獲,HIDS的bash命令監(jiān)控解決方案。
(3).mysql query等數(shù)據(jù)庫(kù)的數(shù)據(jù)庫(kù)審計(jì)解決方案。
https://ecapture.cc/zh/guide/introduction.html https://ecapture.cc/zh/guide/how-it-works.html https://ecapture.cc/zh/examples/android.html https://ecapture.cc/zh/examples/docker.html https://ecapture.cc/zh/examples/index.html
Ubuntu20.04 arm64環(huán)境
Ubuntu20.04.2.0環(huán)境的安裝與配置過(guò)程 Ubuntu環(huán)境Python3版本的更新升級(jí)使用方法 Ubuntu安裝配置切換Python3版本的解決方法
https://ubuntu.com/#download https://ubuntu.pkgs.org/20.04/ubuntu-updates-multiverse-arm64/查看Linux內(nèi)核版本
cat /proc/version uname -r uname -a
配置eCapture源碼編譯環(huán)境
mkdir ~/env && cd ~/env wget https://dl.google.com/go/go1.17.13.linux-amd64.tar.gz tar xvf go1.17.13.linux-amd64.tar.gz 或 wget https://golang.google.cn/dl/go1.18.linux-arm64.tar.gz tarxvfgo1.18.linux-arm64.tar.gz vim ~/.bashrc source ~/.bashrc
sudo apt-get install --yes wget git golang build-essential pkgconf libelf-dev llvm-12 clang-12 linux-tools-generic linux-tools-common wget https://golang.google.cn/dl/go1.18.linux-arm64.tar.gz sudo rm -rf /usr/local/go && sudo tar -C /usr/local -xzf go1.18.linux-arm64.tar.gz
for tool in "clang" "llc" "llvm-strip" do sudo rm -f /usr/bin/$tool sudo ln -s /usr/bin/$tool-12 /usr/bin/$tool done
vim ~/.bashrc source ~/.bashrc
git clone https://github.com/ehids/ecapture.git
bpftool安裝
sudo apt install linux-tools-5.15.0-53-generic sudo apt install linux-tools-generic
eCapture源碼的編譯方法
cdecapture make
(1).編譯支持core版本的二進(jìn)制程序
ANDROID=1 make
(2).編譯僅支持當(dāng)前內(nèi)核版本的二進(jìn)制程序
ANDROID=1 make nocore
adb push ecapture /data/local/tmp/ adb root adb remount adb shell cd /data/local/tmp chmod 777 ecapture ./ecapture tls
審核編輯:劉清
聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點(diǎn)僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場(chǎng)。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問(wèn)題,請(qǐng)聯(lián)系本站處理。
舉報(bào)投訴
-
Linux系統(tǒng)
+關(guān)注
關(guān)注
4文章
593瀏覽量
27397 -
LINUX內(nèi)核
+關(guān)注
關(guān)注
1文章
316瀏覽量
21650 -
macOS系統(tǒng)
+關(guān)注
關(guān)注
0文章
9瀏覽量
1543 -
TLS
+關(guān)注
關(guān)注
0文章
44瀏覽量
4252
原文標(biāo)題:eCapture|Android https明文抓包
文章出處:【微信號(hào):哆啦安全,微信公眾號(hào):哆啦安全】歡迎添加關(guān)注!文章轉(zhuǎn)載請(qǐng)注明出處。
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
TLSclient如何與測(cè)試網(wǎng)站建立TLS連接并獲取加密數(shù)據(jù)?
該示例程序提供了一個(gè)簡(jiǎn)單的TLSclient,與測(cè)試網(wǎng)站建立TLS連接并獲取加密數(shù)據(jù)。
發(fā)表于 03-30 07:41
軟件加密技術(shù)和注冊(cè)機(jī)制加密基礎(chǔ)
軟件加密技術(shù)和注冊(cè)機(jī)制加密基礎(chǔ) 本文是一篇軟件加密技術(shù)的基礎(chǔ)性文章,簡(jiǎn)要介紹了軟件加密的一些基本常識(shí)和一些加密產(chǎn)品,適用于國(guó)內(nèi)軟件開發(fā)商或者
發(fā)表于 07-19 07:33
mbed TLS的目標(biāo)是什么
前言 mbed TLS(以前稱為PolarSSL)是TLS和SSL協(xié)議的實(shí)現(xiàn),并且需要相應(yīng)的加密算法和支持代碼。這是雙重許可與Apache許可證2.0版(與GPLv2許可也可)。網(wǎng)站上
發(fā)表于 07-19 06:11
STM32+FreeRTOS+LWIP+WolfSSL實(shí)現(xiàn)HTTPS
STM32+FreeRTOS+LWIP+WolfSSL 實(shí)現(xiàn) HTTPS(超詳細(xì)):如今的物聯(lián)網(wǎng)時(shí)代,需要追求數(shù)據(jù)通信的安全性,傳統(tǒng)的 HTTP 是明文傳輸,需要使用 HTTPS 的加密機(jī)制才能
發(fā)表于 08-24 08:20
RT-Thread系統(tǒng)基于SAL接口的TLS實(shí)現(xiàn)
Security,安全傳輸層),TLS是建立在傳輸層TCP協(xié)議之上的協(xié)議,服務(wù)于應(yīng)用層,它的前身是SSL(Secure Socket Layer,安全套接字層),它實(shí)現(xiàn)了將應(yīng)用層的報(bào)文進(jìn)行加密后再交
發(fā)表于 06-21 11:26
openEuler 倡議建立 eBPF 軟件發(fā)布標(biāo)準(zhǔn)
eBPF 是一個(gè)能夠在內(nèi)核運(yùn)行沙箱程序的技術(shù),提供了一種在內(nèi)核事件和用戶程序事件發(fā)生時(shí)安全注入代碼的機(jī)制,使得非內(nèi)核開發(fā)人員也可以對(duì)內(nèi)核進(jìn)行控制。隨著內(nèi)核的發(fā)展,eBPF 逐步從最初的數(shù)據(jù)包過(guò)濾
發(fā)表于 12-23 16:21
基于明文編碼加密方案研究
對(duì)著名的最優(yōu)非對(duì)稱填充加密方案(RSA-OAEP)及其改進(jìn)方案進(jìn)行分析發(fā)現(xiàn):(1)這些方案的明文填充機(jī)制均采用Hash函數(shù)來(lái)隱藏明文統(tǒng)計(jì)特性,然而Hash函數(shù)特有的屬性導(dǎo)致RSA-OAEP及其改進(jìn)
發(fā)表于 01-02 14:18
?0次下載
基于明文長(zhǎng)度的構(gòu)建橢圓曲線密碼密文的方法
針對(duì)存儲(chǔ)橢圓曲線密碼加密生成的密文與明文相比需要的存儲(chǔ)空間較多的問(wèn)題,提出了一種基于明文長(zhǎng)度的構(gòu)建橢圓曲線密碼密文的方法。首先,該方法通過(guò)分析橢圓曲線密碼加密運(yùn)算流程,推導(dǎo)出
發(fā)表于 01-02 17:19
?0次下載
Firefox瀏覽器放棄支持加密協(xié)議TLS 1.1和以下版本
Firefox瀏覽器自74.0版本開始,將完全放棄對(duì)加密協(xié)議TLS 1.0和TLS 1.1的支持。屆時(shí),瀏覽器將通過(guò)顯示“安全連接失敗”錯(cuò)誤頁(yè)面來(lái)阻止用戶訪問(wèn)不支持TLS 1.2或更高
eBPF是什么以及eBPF能干什么
規(guī)則使用基于寄存器的虛擬機(jī)來(lái)描述包過(guò)濾的行為。比較常用的功能是通過(guò)過(guò)濾來(lái)統(tǒng)計(jì)流量,tcpdump工具就是基于BPF實(shí)現(xiàn)的。而eBPF對(duì)它進(jìn)行了擴(kuò)展來(lái)實(shí)現(xiàn)更多的功能。 主要區(qū)別如下: 1)允許使用C 語(yǔ)言編寫
Linux內(nèi)核觀測(cè)技術(shù)eBPF中文入門指南
eBPF(extened Berkeley Packet Filter)是一種內(nèi)核技術(shù),它允許開發(fā)人員在不修改內(nèi)核代碼的情況下運(yùn)行特定的功能。eBPF 的概念源自于 Berkeley Packet Filter(BPF),后者是
基于ebpf的性能工具-bpftrace
在前面我已經(jīng)分享了關(guān)于ebpf入門的文章: 基于ubuntu22.04-深入淺出 eBPF 。 這篇文章介紹一個(gè)基于ebpf技術(shù)的強(qiáng)大工具--bpftrace。 在現(xiàn)代計(jì)算機(jī)系統(tǒng)中,了
什么是TLS加密?TLS加密的功能特點(diǎn)
的數(shù)據(jù)傳輸安全。它是SSL(Secure Sockets Layer)協(xié)議的后繼者,繼承并增強(qiáng)了SSL的安全特性,已經(jīng)成為互聯(lián)網(wǎng)上加密通信的事實(shí)標(biāo)準(zhǔn)。 TLS加密的核心功能和特點(diǎn)包括: 1、數(shù)據(jù)
socket 加密通信的實(shí)現(xiàn)方式
在網(wǎng)絡(luò)通信中,數(shù)據(jù)的安全性至關(guān)重要。Socket 編程作為網(wǎng)絡(luò)通信的基礎(chǔ),實(shí)現(xiàn)加密通信是保護(hù)數(shù)據(jù)不被竊取或篡改的重要手段。 1. SSL/TLS 加密 SSL(Secure Socke
工商網(wǎng)監(jiān)
評(píng)論