支持Linux系统内核4.15以上版本,支持Android系统内核5.4以上版本
不支持Windows、macOS系统
eCapture工作原理和系统架构
https://ecapture.cc/zh/guide/how-it-works.htmleBPF HOOK uprobe实现的各种用户态进程的数据捕获,无需改动原程序
(1).SSL/HTTPS数据导出功能,针对HTTPS的数据包抓取,不需要导入CA证书。
(2).bash的命令捕获,HIDS的bash命令监控解决方案。
(3).mysql query等数据库的数据库审计解决方案。
https://ecapture.cc/zh/guide/introduction.htmlhttps://ecapture.cc/zh/guide/how-it-works.htmlhttps://ecapture.cc/zh/examples/android.htmlhttps://ecapture.cc/zh/examples/docker.htmlhttps://ecapture.cc/zh/examples/index.html
https://ubuntu.com/#downloadhttps://ubuntu.pkgs.org/20.04/ubuntu-updates-multiverse-arm64/
cat /proc/versionuname -runame -a
配置eCapture源码编译环境
mkdir ~/env && cd ~/envwget https://dl.google.com/go/go1.17.13.linux-amd64.tar.gztar xvf go1.17.13.linux-amd64.tar.gz或wget https://golang.google.cn/dl/go1.18.linux-arm64.tar.gztar xvf go1.18.linux-arm64.tar.gzvim ~/.bashrcsource ~/.bashrc
sudo apt-get install --yes wget git golang build-essential pkgconf libelf-dev llvm-12 clang-12 linux-tools-generic linux-tools-commonwget https://golang.google.cn/dl/go1.18.linux-arm64.tar.gzsudo rm -rf /usr/local/go && sudo tar -C /usr/local -xzf go1.18.linux-arm64.tar.gz
for tool in "clang" "llc" "llvm-strip"dosudo rm -f /usr/bin/$toolsudo ln -s /usr/bin/$tool-12 /usr/bin/$tooldone
vim ~/.bashrcsource ~/.bashrc
git clone https://github.com/ehids/ecapture.git
bpftool安装
sudo apt install linux-tools-5.15.0-53-genericsudo apt install linux-tools-generic
eCapture源码的编译方法
cd ecapturemake
(1).编译支持core版本的二进制程序
ANDROID=1 make
(2).编译仅支持当前内核版本的二进制程序
ANDROID=1 make nocore
adb push ecapture /data/local/tmp/adb rootadb remountadb shellcd /data/local/tmpchmod 777 ecapturetls
参考链接
https://ecapture.cc/https://github.com/ehids/ecapturehttps://github.com/ehids/ecapture/blob/master/README_CN.mdhttps://github.com/ehids/ecapture/releaseshttps://bbs.pediy.com/thread-275179.htmhttps://mp.weixin.qq.com/s/KWm5d0uuzOzReRtr9PmuWQ
推荐阅读
eCapture是基于eBPF技术实现用户态数据捕获无需CA证书抓https网络明文通讯
原文始发于微信公众号(哆啦安全):eCapture|Android https明文抓包
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论