基于eBPF技术实现TLS加密的明文捕获

基于eBPF技术实现TLS加密的明文捕获，无需CA证书

eCapture支持tls、bash、mysqld、postgres等模块的信息提取与捕获

支持Linux系统内核4.15以上版本，支持Android系统内核5.4以上版本

不支持Windows、macOS系统

eCapture工作原理和系统架构

 

https://ecapture.cc/zh/guide/how-it-works.html

 

eBPF HOOK uprobe实现的各种用户态进程的数据捕获，无需改动原程序

(1).SSL/HTTPS数据导出功能，针对HTTPS的数据包抓取，不需要导入CA证书。

(2).bash的命令捕获，HIDS的bash命令监控解决方案。

(3).mysql query等数据库的数据库审计解决方案。

 

https://ecapture.cc/zh/guide/introduction.html
https://ecapture.cc/zh/guide/how-it-works.html
https://ecapture.cc/zh/examples/android.html
https://ecapture.cc/zh/examples/docker.html
https://ecapture.cc/zh/examples/index.html

 

Ubuntu20.04 arm64环境

Ubuntu20.04.2.0环境的安装与配置过程 Ubuntu环境Python3版本的更新升级使用方法 Ubuntu安装配置切换Python3版本的解决方法

 

https://ubuntu.com/#download
https://ubuntu.pkgs.org/20.04/ubuntu-updates-multiverse-arm64/

查看Linux内核版本

cat /proc/version
uname -r
uname -a

 

配置eCapture源码编译环境

 

mkdir ~/env && cd ~/env
wget https://dl.google.com/go/go1.17.13.linux-amd64.tar.gz
tar xvf go1.17.13.linux-amd64.tar.gz
或
wget https://golang.google.cn/dl/go1.18.linux-arm64.tar.gz
tar xvf go1.18.linux-arm64.tar.gz
vim ~/.bashrc
source ~/.bashrc

 

 

sudo apt-get install --yes wget git golang build-essential pkgconf libelf-dev llvm-12 clang-12 linux-tools-generic linux-tools-common
wget https://golang.google.cn/dl/go1.18.linux-arm64.tar.gz
sudo rm -rf /usr/local/go && sudo tar -C /usr/local -xzf go1.18.linux-arm64.tar.gz

 

 

for tool in "clang" "llc" "llvm-strip"
do
sudo rm -f /usr/bin/$tool
sudo ln -s /usr/bin/$tool-12 /usr/bin/$tool
done

 

 

vim ~/.bashrc
source ~/.bashrc

 

 

git clone https://github.com/ehids/ecapture.git

 

bpftool安装

 

sudo apt install linux-tools-5.15.0-53-generic
sudo apt install linux-tools-generic

 

eCapture源码的编译方法

 

cd ecapture
make

 

(1).编译支持core版本的二进制程序

 

ANDROID=1 make

 

(2).编译仅支持当前内核版本的二进制程序

 

ANDROID=1 make nocore

 

 

adb push ecapture /data/local/tmp/
adb root
adb remount
adb shell
cd /data/local/tmp
chmod 777 ecapture
./ecapture tls

 

审核编辑：刘清