基于eBPF技術實現(xiàn)TLS加密的明文捕獲，無需CA證書

eCapture支持tls、bash、mysqld、postgres等模塊的信息提取與捕獲

支持Linux系統(tǒng)內核4.15以上版本，支持Android系統(tǒng)內核5.4以上版本

不支持Windows、macOS系統(tǒng)

eCapture工作原理和系統(tǒng)架構

https://ecapture.cc/zh/guide/how-it-works.html

eBPF HOOK uprobe實現(xiàn)的各種用戶態(tài)進程的數(shù)據捕獲，無需改動原程序

(1).SSL/HTTPS數(shù)據導出功能，針對HTTPS的數(shù)據包抓取，不需要導入CA證書。

(2).bash的命令捕獲，HIDS的bash命令監(jiān)控解決方案。

(3).mysql query等數(shù)據庫的數(shù)據庫審計解決方案。

https://ecapture.cc/zh/guide/introduction.html
https://ecapture.cc/zh/guide/how-it-works.html
https://ecapture.cc/zh/examples/android.html
https://ecapture.cc/zh/examples/docker.html
https://ecapture.cc/zh/examples/index.html

Ubuntu20.04 arm64環(huán)境

Ubuntu20.04.2.0環(huán)境的安裝與配置過程 Ubuntu環(huán)境Python3版本的更新升級使用方法 Ubuntu安裝配置切換Python3版本的解決方法

https://ubuntu.com/#download
https://ubuntu.pkgs.org/20.04/ubuntu-updates-multiverse-arm64/

cat /proc/version
uname -r
uname -a

配置eCapture源碼編譯環(huán)境

mkdir ~/env && cd ~/env
wget https://dl.google.com/go/go1.17.13.linux-amd64.tar.gz
tar xvf go1.17.13.linux-amd64.tar.gz
或
wget https://golang.google.cn/dl/go1.18.linux-arm64.tar.gz
tarxvfgo1.18.linux-arm64.tar.gz
vim ~/.bashrc
source ~/.bashrc

sudo apt-get install --yes wget git golang build-essential pkgconf libelf-dev llvm-12 clang-12 linux-tools-generic linux-tools-common
wget https://golang.google.cn/dl/go1.18.linux-arm64.tar.gz
sudo rm -rf /usr/local/go && sudo tar -C /usr/local -xzf go1.18.linux-arm64.tar.gz

for tool in "clang" "llc" "llvm-strip"
do
sudo rm -f /usr/bin/$tool
sudo ln -s /usr/bin/$tool-12 /usr/bin/$tool
done

vim ~/.bashrc
source ~/.bashrc

git clone https://github.com/ehids/ecapture.git

bpftool安裝

sudo apt install linux-tools-5.15.0-53-generic
sudo apt install linux-tools-generic

eCapture源碼的編譯方法

cdecapture
make

(1).編譯支持core版本的二進制程序

ANDROID=1 make

(2).編譯僅支持當前內核版本的二進制程序

ANDROID=1 make nocore

adb push ecapture /data/local/tmp/
adb root
adb remount
adb shell
cd /data/local/tmp
chmod 777 ecapture
./ecapture tls

審核編輯：劉清