الالتقاط على مستوى التطبيق
بعض البرامج تتجاوز مدى كل من البروكسي وبطاقة الشبكة: فهي تستخدم تثبيت الشهادة، أو تتجاهل البروكسي كليًا، أو تستخدم تشفيرًا داخليًا خاصًا بها. يسلك الالتقاط على مستوى التطبيق طريقًا مختلفًا: فهو يقرأ النص الصريح مباشرة من داخل البرنامج. لا يثبّت شهادة، ولا يعد بروكسي، ولا يلتقط من بطاقة الشبكة، فكل تلك “الدفاعات” ببساطة لا تنطبق، وتظل ترى ما يرسله ويستقبله فعليًا. هذه هي النقطة العمياء النموذجية لأدوات الالتقاط العادية، وهي الميزة الحاسمة لهذا النمط.
1. ما لا تستطيع أدوات أخرى فك تشفيره، يستطيعه هذا النمط
Section titled “1. ما لا تستطيع أدوات أخرى فك تشفيره، يستطيعه هذا النمط”| “دفاع” البرنامج الهدف | الالتقاط عبر البروكسي | الالتقاط من بطاقة الشبكة | الالتقاط على مستوى التطبيق |
|---|---|---|---|
| تثبيت الشهادة | ❌ تعذّر الاتصال / أخطاء | 🔒 نص مشفّر فقط | ✅ نص صريح |
| تجاهل بروكسي النظام | ❌ تعذّر الالتقاط | 🔒 نص مشفّر فقط | ✅ نص صريح |
| تشفير داخلي / غير قياسي | ❌ تعذّر فك التشفير | 🔒 نص مشفّر فقط | ✅ نص صريح |
المبدأ بسيط: فهو يقرأ النص الصريح مباشرة من داخل البرنامج، دون اعتراض في المنتصف ودون لمس الشهادات، فكل تلك الدفاعات الموجهة ضد “الوسيط” و“الشهادة” ببساطة لا تنطبق.

2. مدى اتساع التغطية
Section titled “2. مدى اتساع التغطية”لا يتحسس مكتبات التشفير أو حزم التقنية. قراءة النص الصريح من داخل البرنامج تغطي برامج أكثر بكثير مما يستطيعه البروكسي أو بطاقة الشبكة:
- سواء استخدم البرنامج مكتبة تشفير شائعة أو غير مألوفة، يمكن قراءة النص الصريح من الداخل.
- سواء كان برنامجًا أصليًا أو تطبيقًا مكتوبًا بأطر عمل متعددة المنصات متنوعة (عملاء سطح مكتب، تطبيقات متعددة المنصات…)، يُعامَل جميعها بالطريقة نفسها.
- حتى البرامج التي تتواصل باستخدام التشفير المدمج في نظام التشغيل مشمولة، بما فيها .NET / PowerShell وغيرها من البرامج التي تستخدم مكدس شبكة نظام Windows. غالبًا ما تكون هذه النقاط العمياء الأصعب على الأدوات الأخرى، ومع ذلك يُقرأ النص الصريح من الداخل هنا أيضًا.
- باختصار: المتصفحات، عملاء سطح المكتب، البرامج الأصلية… أهداف كثيرة “نص مشفّر فقط” في أماكن أخرى تكون نصًا صريحًا هنا تمامًا.
3. يمكنه التعامل مع الحالات الأصعب أيضًا
Section titled “3. يمكنه التعامل مع الحالات الأصعب أيضًا”بالنسبة للبرامج الأصعب، هناك إجراءان إضافيان:
- “حركة المقابس” (socket)، كخيار احتياطي أدنى مستوى: بالنسبة للبرامج المجرّدة، أو التي أُزيلت رموزها، أو المكتوبة بحزمة تقنية أحدث (مثل Go أو Rust الخالصة، أو باستخدام مكدس شبكة نظام Windows)، عندما لا يستطيع النهج المعتاد إيجاد نقطة التشفير/فك التشفير الخاصة بالبرنامج، فعّل هذا الخيار وسيسلك مسارًا أدنى مستوى لانتزاع البيانات والحصول على النص الصريح رغم ذلك، دون الاعتماد على إمكانية تحديد نقطة التشفير/فك التشفير الخاصة بالبرنامج ودون الاعتماد على بطاقة الشبكة. برامج كثيرة تتوقف عندها أدوات أخرى تمامًا يمكن معالجتها بهذه الطريقة.
- التقاط “لحظة البدء”: يحدث كثير من المصادقة والمصافحة في اللحظة التي يبدأ فيها البرنامج أولًا. أغلقه أولًا ودع الأداة تُطلقه، وستُلتقط حركة البداية المبكرة هذه أيضًا، فلا يفوتك ذلك الطلب الأول الحاسم.

4. بعد الالتقاط: فهمه وفك ترميزه
Section titled “4. بعد الالتقاط: فهمه وفك ترميزه”يمر النص الصريح المقروء من الداخل بـالمعالجة نفسها التي تمر بها كل طرق الالتقاط الأخرى:
- طرق عرض متعددة: منظم، نص منسّق، سداسي عشري، واكتشاف تلقائي، قابلة للتبديل باستقلالية لكل اتجاه. راجع الفحص وفك الترميز للتفاصيل.
- فك ضغط واكتشاف تلقائيان: يُفكك تلقائيًا gzip / brotli / deflate / zstd (بما في ذلك طبقات متعددة متراكبة)، ويُكتشف تلقائيًا وتُنسّق JSON وXML والنماذج وprotobuf / gRPC وغيرها.
- فك ترميز مخصص: للبروتوكولات الخاصة / الداخلية عبر المقابس، اكتب نصًا برمجيًا قصيرًا يعلّمه كيفية قراءتها. راجع فك ترميز البروتوكولات المخصصة للتفاصيل.
5. النطاق والحدود
Section titled “5. النطاق والحدود”- الأنسب لـ: البرامج التي تستخدم تثبيت الشهادة، أو تتجاهل البروكسي، أو تستخدم تشفيرًا داخليًا / غير قياسي، حيث لا يستطيع البروكسي ولا بطاقة الشبكة الحصول على نص صريح.
- يعمل مباشرة على برنامج قيد التشغيل: اختر برنامجًا قيد التشغيل واقرأ نصه الصريح من الداخل، في مكانه، دون الحاجة لإعادة تشغيله أو تغيير أي من إعداداته (يمكنك أيضًا إدخال مسار برنامج وترك الأداة تُشغّله نيابة عنك).
- يستهدف البرنامج المحدد فقط: لا يتوسع تلقائيًا افتراضيًا ليشمل كل العمليات الفرعية للبرنامج؛ قد تحتاج البرامج متعددة العمليات / النوافذ إلى اختيار كل منها على حدة.
- متى تنتقل إلى الالتقاط على مستوى النظام: تطبيقات النظام المدمجة في macOS، إلى جانب التطبيقات العنيدة والمخفية بعمق بشكل خاص، ترفض كل تدخل خارجي، ولا يستطيع هذا النمط الوصول إليها؛ لهذه الأهداف، انتقل إلى الالتقاط على مستوى النظام (الذي لا يدخل البرنامج ويراقب من مستويات النظام الأدنى).
6. الاختيار بين طرق الالتقاط المحلية الأربع
Section titled “6. الاختيار بين طرق الالتقاط المحلية الأربع”| حالتك | الطريقة المناسبة |
|---|---|
| برنامج قيد التشغيل بالفعل / يستخدم تثبيت الشهادة / يتجاهل البروكسي / يستخدم تشفيرًا داخليًا | الالتقاط على مستوى التطبيق (هذه الصفحة) |
| برنامج عادي يمكنك تشغيله بأمر (متصفح / نص برمجي / سطر أوامر) | الالتقاط لكل عملية (أقل عناءً) |
| تريد رؤية كل الحركة على الجهاز، أو الحركة غير المرتبطة بـHTTP | الالتقاط من بطاقة الشبكة |
| تطبيقات النظام المدمجة في macOS / التطبيقات العنيدة | الالتقاط على مستوى النظام |
ذو صلة: الالتقاط عبر البروكسي · إزالة تثبيت الشهادة · الفحص وفك الترميز