注
Linux/Android カーネルバージョン x86_64 4.18 以上、aarch64 5.5 以上に対応しています。 Windows、macOS には対応していません。
- SSL/TLS テキスト コンテキスト キャプチャ、openssl\libssl\boringssl\gnutls\nspr(nss) ライブラリのサポート。
- Go TLSライブラリをサポートする平文キャプチャ、つまりGolang言語で書かれたHTTPS/TLSプログラムの暗号化通信を使用します。
- bash audit, ホストセキュリティ監査用のbashコマンドをキャプチャ。
- mysql クエリ SQL 監査、サポート mysqld 5.6\5.7\8.0、および mariadDB。
ELF zip ファイルリリースをダウンロードし、解凍して
コマンド sudo ecapture --help で使用します。
- Linux kernel version >= 4.18 is required.
- Enable BTF BPF Type Format (BTF) (Optional, 2022-04-17)
## イメージをプルする
docker pull gojue/ecapture:latest
# 実行
docker run --rm --privileged=true --net=host -v ${hostファイルパス}:${コンテナ内パス} gojue/ecapture ARGS注
ROOT 権限が必要です。
eCapture はデフォルトで /etc/ld.so.conf ファイルを検索し、
SO ファイルのロードディレクトリを検索し、
openssl シャードライブラリの場所を検索します。
ターゲットプログラムが静的にコンパイルされる場合、プログラムパスを --libssl フラグの値として直接設定することができます。
eCapture 有8个模块,分别支持openssl/gnutls/nspr/boringssl/gotls等类库的TLS/SSL加密类库的明文捕获、Bash、Mysql、PostGres软件审计。
- bash capture bash command
- gnutls capture gnutls text content without CA cert for gnutls libraries.
- gotls Capturing plaintext communication from Golang programs encrypted with TLS/HTTPS.
- mysqld capture sql queries from mysqld 5.6/5.7/8.0 .
- nss capture nss/nspr encrypted text content without CA cert for nss/nspr libraries.
- postgres capture sql queries from postgres 10+.
- tls use to capture tls/ssl text content without CA cert. (Support openssl 1.0.x/1.1.x/3.0.x or newer).
你可以通过ecapture -h来查看这些自命令列表。
openssl模块支持3中捕获模式
- pcap/pcapng模式,将捕获的明文数据以pcap-NG格式存储。
- keylog/key模式,保存TLS的握手密钥到文件中。
- text模式,直接捕获明文数据,输出到指定文件中,或者打印到命令行。
你可以通过-m pcap或-m pcapng参数来指定,需要配合--pcapfile、-i参数使用。其中--pcapfile参数的默认值为ecapture_openssl.pcapng。
sudo ecapture tls -m pcap -i eth0 --pcapfile=ecapture.pcapng --port=443将捕获的明文数据包保存为pcapng文件,可以使用Wireshark打开查看。
你可以通过-m keylog或-m key参数来指定,需要配合--keylogfile参数使用,默认为ecapture_masterkey.log。
捕获的openssl TLS的密钥Master Secret信息,将保存到--keylogfile中。你也可以同时开启tcpdump抓包,再使用Wireshark打开,设置Master Secret路径,查看明文数据包。
sudo ecapture tls -m keylog -keylogfile=openssl_keylog.log也可以直接使用Wireshark软件实时解密展示。
tshark -o tls.keylog_file:ecapture_masterkey.log -Y http -T fields -e http.file_data -f "port 443" -i eth0sudo ecapture tls -m text 将会输出所有的明文数据包。(v0.7.0起,不再捕获SSLKEYLOG信息。)
与openssl模块类似。
cfc4n@vm-server:~$# uname -r
4.18.0-305.3.1.el8.x86_64
cfc4n@vm-server:~$# cat /boot/config-`uname -r` | grep CONFIG_DEBUG_INFO_BTF
CONFIG_DEBUG_INFO_BTF=yStep 1:
sudo ecapture gotls --elfpath=/home/cfc4n/go_https_client --hexStep 2:
/home/cfc4n/go_https_clientsudo ecapture gotls -hbash コマンドをキャプチャする。
ps -ef | grep fooLinux カーネル: >= 4.18.
- golang 1.21 またはそれ以降
- clang 9.0 またはそれ以降
- cmake 3.18.4 またはそれ以降
- clang バックエンド: llvm 9.0 またはそれ以降
- カーネル config:CONFIG_DEBUG_INFO_BTF=y (Optional, 2022-04-17)
もしUbuntu 20.04以降を使用している場合、1つのコマンドでコンパイル環境の初期化が完了します。
/bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/gojue/ecapture/master/builder/init_env.sh)"上記のツールチェーンバージョンに列挙されたソフトウェア以外に、以下のソフトウェアも必要です。自己でインストールしてください。
- linux-tools-common
- linux-tools-generic
- pkgconf
- libelf-dev
リポジトリのコードをクローンし、コンパイルしてください
git clone --recurse-submodules git@github.com:gojue/ecapture.git
cd ecapture
make
bin/ecaptureeCapture サポート BTF をコマンド make nocore で無効にし、2022/04/17 にコンパイルできるようにしました。LinuxのBTFをサポートしていなくても正常に動作することができます。
make nocore
bin/ecapture --help要交叉编译eCapture工具,您需要安装目标体系结构的内核头文件。需要安装linux-source软件包。
kernel_ver=`uname -r | cut -d'-' -f 1`
sudo apt-get install -y linux-source-$kernel_ver
cd /usr/src
sudo tar -xf linux-source-${kernel_ver}.tar.bz2
cd /usr/src/linux-source-${kernel_ver}
test -f .config || yes "" | sudo make oldconfigUbuntuの amd64 システムで arm64 の成果物をビルドするには、CROSS_ARCH環境変数を設定してクロスコンパイルを実行できます。
CROSS_ARCH=arm64 make
パッチの投稿やコントリビューションのワークフローの詳細は CONTRIBUTING を参照してください。