Zum Inhalt springen

Prozessbezogener Mitschnitt

Sie möchten den Datenverkehr nur eines einzigen Programms sehen, aber nicht den ganzen Aufwand mit „globalen Proxy ändern, Zertifikat installieren, nach dem Mitschnitt alles wiederherstellen“ betreiben? Geben Sie einen Startbefehl an, und das Tool startet das Programm für Sie, schneidet nur dieses eine mit und zeigt ab dem Start Klartext an, ganz ohne Störung anderer Software auf dem System. Der leichteste und sauberste Weg, ein einzelnes Programm mitzuschneiden.


Ein einzelnes Programm über einen Proxy zu erfassen bedeutet meist, den System-Proxy zu ändern, ein Zertifikat dafür zu installieren und danach alles wiederherzustellen, mit dem Risiko, bei Unachtsamkeit andere Software zu beeinträchtigen. Der prozessbezogene Mitschnitt überspringt all das:

Ein einzelnes Programm über Proxy (traditioneller Ansatz) Prozessbezogener Mitschnitt
Systemweiter Proxy Muss geändert und danach wiederhergestellt werden Unangetastet
Zertifikat installieren Muss installiert werden, und das Programm muss ihm vertrauen Nicht nötig
Auswirkung auf andere Software Möglich (ein globaler Proxy greift über) Keinerlei Störung (betrifft nur dieses eine Programm)
Klartext sehen Nur wenn das Programm dem Zertifikat vertraut Klartext ab dem Start (automatische Entschlüsselung für gängige Programme)
Aufräumen nach dem Mitschnitt Proxy wiederherstellen / Zertifikat entfernen Einfach stoppen, nichts wiederherzustellen

Kurz gesagt: Der Proxy-Mitschnitt berührt „die ganze Maschine“, der prozessbezogene Mitschnitt berührt nur „dieses eine Programm“. Wenn Sie sauber sehen wollen, was ein einzelnes Programm sendet, ist dies der müheloseste Weg.


  • Schneidet nur dieses eine Programm mit, kein Eingriff: ändert weder den System-Proxy, noch installiert es ein Zertifikat oder rührt die NIC an; nur das Programm, das Sie starten, wird mitgeschnitten. Andere Software auf dem System bleibt völlig unberührt, und nach dem Mitschnitt gibt es nichts aufzuräumen.
  • Klartext ab dem Start, breite Abdeckung: Browser, Desktop-Apps im Electron-Stil, Node, Python, Desktop-Java und Kommandozeilen-Tools, die gängige Krypto-Bibliotheken verwenden, zeigen alle Klartext, sobald ein Befehl sie startet, ohne dass am Programm etwas zu konfigurieren oder ein Zertifikat zu installieren wäre.
  • Kindprozesse werden automatisch verfolgt: Kindprozesse, die das Programm intern startet, werden ebenfalls mitgeschnitten, nichts geht verloren.
  • Sofort einsatzbereit: Um ein Skript zu debuggen oder eine API zu prüfen, geben Sie einen Befehl ein und beginnen den Mitschnitt, weitaus schneller als einen Proxy einzurichten und ein Zertifikat zu installieren.

Geben Sie unter „Startbefehl“ den Befehl ein, den Sie ausführen möchten (zum Beispiel python3 app.py), und das Tool startet ihn und schneidet nur dessen Datenverkehr mit. Drei Ein-Klick-Beispiele sind integriert; klicken Sie eines an, um es automatisch auszufüllen, und passen Sie es nach Bedarf an:

  • Browser-Beispiel: startet ein separates, sauberes Browserfenster (Ihr täglich genutzter Browser bleibt unangetastet) und schneidet es direkt mit; HTTP/3 (QUIC) wurde bereits für Sie so eingestellt, dass es auf eine gewöhnliche Verbindung zurückfällt, sodass es leicht mitzuschneiden und entschlüsselbar ist.
  • Python-Beispiel: senden Sie mit einem Befehl eine Anfrage und sehen Sie den Klartext.
  • Kommandozeilen-Beispiel: eine per Kommandozeile gestellte HTTPS-Anfrage wird sofort mitgeschnitten.

Neue Sitzung · Prozessbezogener Mitschnitt: Startbefehl eingeben, und das Tool startet das Programm für Sie, schneidet nur dieses eine mit und entschlüsselt es automatisch; Browser-/Python-/Kommandozeilen-Beispiele mit einem Klick integriert

Wenn ein anderes Programm, das Sie mitschneiden, ebenfalls HTTP/3 verwendet, aktivieren Sie das sitzungsbezogene „HTTP/3 blockieren“, damit es auf eine gewöhnliche Verbindung zurückfällt, was es ebenso leicht mitzuschneiden und entschlüsselbar macht.


4. Klartext sehen: was funktioniert und was einen anderen Ansatz braucht

Abschnitt betitelt „4. Klartext sehen: was funktioniert und was einen anderen Ansatz braucht“
  • Gängige Programme: Klartext ab dem Start. Browser, Electron-Apps, Node, Python, Desktop-Java und Kommandozeilen-Tools, die gängige Krypto-Bibliotheken verwenden, zeigen nach dem Start direkt Klartext, ohne zusätzliche Schritte.

Echtes Ergebnis: Bei einem per einzelnem Befehl gestarteten Programm wird die HTTPS-Anfrage mitgeschnitten und entschlüsselt; die Details zeigen TLS „Entschlüsselt“, mit übersichtlich aufbereiteten Anfrage-Headern und JSON-Antwort

  • Einige wenige Programme lassen sich nicht entschlüsseln (mitschneidbar, aber nur Chiffretext): Bestimmte Programme, die spezielle Krypto-Bibliotheken verwenden, liefern mit dieser Methode keinen Klartext. Am typischsten ist macOS’ eingebautes curl (und Tools, die auf derselben System-Krypto-Bibliothek basieren); einige rein in Go geschriebene Programme sind ebenso.

    Um für per Kommandozeile gesendetes HTTPS Klartext zu sehen, ist das „Python-Beispiel“ am zuverlässigsten; oder wechseln Sie zu einem OpenSSL-basierten curl.

  • Programme, die Proxy-Einstellungen vollständig ignorieren: deren Datenverkehr kann diese Methode nicht mitschneiden.

Für diese „verstärkten“ oder speziellen Programme wechseln Sie zum Mitschnitt auf Anwendungsebene, der den Klartext direkt aus dem Inneren des Programms liest und mit Certificate Pinning, hauseigener Verschlüsselung und System-Krypto-Bibliotheken gleichermaßen umgehen kann.


Erfasste Daten durchlaufen die gleiche Verarbeitung wie bei jeder anderen Mitschnitt-Methode und sind ebenso leicht zu verstehen und zu decodieren:

  • Mehrere Ansichten: strukturiert, aufbereiteter Text, Hex und automatische Erkennung, für jede Richtung unabhängig umschaltbar. Details siehe Inspizieren & Decodieren.
  • Automatisches Dekomprimieren und Erkennen: dekomprimiert automatisch gzip / brotli / deflate / zstd (auch mehrere gestapelte Schichten) und erkennt und formatiert JSON, XML, Formulare, protobuf / gRPC und mehr automatisch.
  • Eigene Codecs: Für proprietäre / hauseigene Protokolle schreiben Sie ein kurzes Skript, das dem Tool beibringt, sie zu lesen. Details siehe Eigene Protokoll-Decodierung.

6. Die Wahl zwischen den vier lokalen Mitschnitt-Methoden

Abschnitt betitelt „6. Die Wahl zwischen den vier lokalen Mitschnitt-Methoden“
Ihre Situation Welche Sie verwenden
Ein reguläres Programm, das Sie mit einem Befehl starten können (Browser / Skript / CLI) Prozessbezogener Mitschnitt (diese Seite, der müheloseste)
Sie möchten den gesamten Datenverkehr der Maschine, Nicht-HTTP-Verkehr oder alles sehen, was ein Programm im Netzwerk tut NIC-Mitschnitt
Ein Programm, das bereits läuft / Certificate Pinning verwendet / den Proxy ignoriert / hauseigene Verschlüsselung nutzt / eine System-Krypto-Bibliothek verwendet Mitschnitt auf Anwendungsebene
Eingebaute System-Apps auf macOS / hartnäckige Apps Mitschnitt auf Systemebene

  • Ein Skript debuggen / eine API prüfen: Sie haben ein Python-/Node-Skript geschrieben und möchten genau sehen, was es sendet und empfängt; geben Sie einen Befehl ein und sehen Sie direkt Klartext.
  • Nur ein Programm beobachten: Ohne Systemeinstellungen zu ändern oder andere Software zu beeinträchtigen, sehen Sie nur, mit wem dieses eine Programm spricht.
  • Eine saubere Browser-Sitzung mitschneiden: Nutzen Sie das Beispiel, um ein separates Browserfenster zu starten, frei vom Rauschen all der Plugins und Tabs Ihres alltäglichen Browsers.

Verwandt: Proxy-Mitschnitt · Mitschnitt auf Anwendungsebene · Inspizieren & Decodieren