Zum Inhalt springen

Mitschnitt auf Anwendungsebene

Manche Programme sind sowohl für den Proxy als auch für die NIC unerreichbar: Sie verwenden Certificate Pinning, ignorieren den Proxy vollständig oder nutzen hauseigene Verschlüsselung. Der Mitschnitt auf Anwendungsebene geht einen anderen Weg: Er liest den Klartext direkt aus dem Inneren des Programms. Er installiert kein Zertifikat, konfiguriert keinen Proxy und schneidet keine NIC mit, sodass all diese „Abwehrmechanismen“ schlicht nicht greifen und Sie dennoch sehen, was es wirklich sendet und empfängt. Dies ist der typischste blinde Fleck gewöhnlicher Mitschnitt-Tools und die Killer-Funktion dieses Modus.


1. Wofür andere keinen Klartext bekommen, bekommt er ihn

Abschnitt betitelt „1. Wofür andere keinen Klartext bekommen, bekommt er ihn“
Die „Abwehr“ des Zielprogramms Proxy-Mitschnitt NIC-Mitschnitt Mitschnitt auf Anwendungsebene
Certificate Pinning ❌ Verbindung scheitert / Fehler 🔒 Nur Chiffretext ✅ Klartext
Ignoriert den System-Proxy ❌ Kann nicht mitschneiden 🔒 Nur Chiffretext ✅ Klartext
Hauseigene / nicht standardisierte Verschlüsselung ❌ Kann nicht entschlüsseln 🔒 Nur Chiffretext ✅ Klartext

Das Prinzip ist einfach: Er liest den Klartext direkt aus dem Inneren des Programms, ohne Mittelsmann und ohne Zertifikate anzufassen, sodass all die Abwehrmechanismen, die auf „den Mittelsmann“ und „das Zertifikat“ zielen, schlicht nicht greifen.

Echtes Ergebnis: ein laufendes Programm auswählen und seinen gesendeten/empfangenen Klartext direkt aus seinem Inneren lesen, nach Richtung einzeln aufgelistet (Gesendet ↑ / Empf. ↓), mit der vollständigen HTTP-Anfrage im Klartext in den Details


Es ist bei Krypto-Bibliotheken oder Tech-Stacks nicht wählerisch. Klartext aus dem Inneren des Programms zu lesen deckt weit mehr Programme ab, als Proxy oder NIC es können:

  • Egal ob das Programm eine gängige oder eine obskure Krypto-Bibliothek verwendet, der Klartext lässt sich aus dem Inneren lesen.
  • Egal ob es ein natives Programm ist oder eine mit diversen plattformübergreifenden Frameworks geschriebene App (Desktop-Clients, plattformübergreifende Apps …), es kann gleichermaßen behandelt werden.
  • Selbst Programme, die über die eingebaute Krypto des Betriebssystems kommunizieren, sind abgedeckt, darunter .NET / PowerShell und andere Programme, die den Windows-System-Netzwerkstack verwenden. Diese sind oft die blinden Flecken, mit denen andere Tools am meisten kämpfen, doch hier wird der Klartext dennoch aus dem Inneren gelesen.
  • Kurz gesagt: Browser, Desktop-Clients, native Programme … viele Ziele, die anderswo „nur Chiffretext“ sind, liegen hier als Klartext vor.

Für die schwierigsten Programme gibt es zwei weitere Maßnahmen:

  • „Socket-Verkehr“, eine tiefergreifende Rückfalloption: Für Programme, die abgespeckt sind, deren Symbole entfernt wurden oder die mit einem neueren Tech-Stack geschrieben sind (zum Beispiel reines Go, Rust oder unter Verwendung des Windows-System-Netzwerkstacks), kann der gewöhnliche Ansatz ihren Ver-/Entschlüsselungs-Einstiegspunkt nicht finden; aktivieren Sie diesen Schalter, und er nimmt einen tiefergreifenden Weg, um die Daten zu erfassen und dennoch Klartext zu erhalten, ohne darauf angewiesen zu sein, den Ver-/Entschlüsselungs-Einstiegspunkt des Programms zu lokalisieren, und ohne auf die NIC angewiesen zu sein. Viele Programme, an denen andere Tools völlig scheitern, lassen sich so bewältigen.
  • „Den Moment des Starts“ mitschneiden: Ein Großteil der Authentifizierung und der Handshakes geschieht in dem Augenblick, in dem ein Programm zum ersten Mal startet. Schließen Sie es zuerst und lassen Sie das Tool es starten, dann wird auch dieser Datenverkehr der frühen Startphase mitgeschnitten, sodass Sie diese entscheidende erste Anfrage nicht verpassen.

Neue Sitzung · Mitschnitt auf Anwendungsebene: ein laufendes Programm auswählen (oder einen Programmpfad eingeben) und Klartext direkt aus seinem Inneren lesen; „Ziel neu starten“ ankreuzen, um die frühe Startphase mitzuschneiden, oder „Socket-Verkehr“ für eine tiefergreifende Rückfalloption


Der aus dem Inneren gelesene Klartext durchläuft die gleiche Verarbeitung wie bei jeder anderen Mitschnitt-Methode:

  • Mehrere Ansichten: strukturiert, aufbereiteter Text, Hex und automatische Erkennung, für jede Richtung unabhängig umschaltbar. Details siehe Inspizieren & Decodieren.
  • Automatisches Dekomprimieren und Erkennen: dekomprimiert automatisch gzip / brotli / deflate / zstd (auch mehrere gestapelte Schichten) und erkennt und formatiert JSON, XML, Formulare, protobuf / gRPC und mehr automatisch.
  • Eigene Codecs: Für proprietäre / hauseigene Socket-Protokolle schreiben Sie ein kurzes Skript, das dem Tool beibringt, sie zu lesen. Details siehe Eigene Protokoll-Decodierung.

  • Am besten geeignet für: Programme mit Certificate Pinning, die den Proxy ignorieren oder hauseigene / nicht standardisierte Verschlüsselung verwenden, bei denen weder Proxy noch NIC Klartext bekommen.
  • Funktioniert direkt an einem laufenden Programm: Wählen Sie ein laufendes Programm aus und lesen Sie an Ort und Stelle seinen Klartext aus dem Inneren, ohne es neu starten oder seine Einstellungen ändern zu müssen (Sie können auch einen Programmpfad eingeben und das Tool es für Sie starten lassen).
  • Betrifft nur das ausgewählte Programm: Standardmäßig weitet es sich nicht automatisch auf alle Kindprozesse des Programms aus; Mehrprozess-/Mehrfenster-Programme müssen möglicherweise einzeln ausgewählt werden.
  • Wann an den Mitschnitt auf Systemebene übergeben: Eingebaute System-Apps auf macOS sowie besonders hartnäckige, tief verborgene Apps verweigern jeden Eingriff von außen, und dieser Modus kommt nicht hinein; für solche Ziele wechseln Sie zum Mitschnitt auf Systemebene (der nicht in das Programm eindringt und aus den tieferen Ebenen des Systems beobachtet).

6. Die Wahl zwischen den vier lokalen Mitschnitt-Methoden

Abschnitt betitelt „6. Die Wahl zwischen den vier lokalen Mitschnitt-Methoden“
Ihre Situation Welche Sie verwenden
Ein Programm, das bereits läuft / Certificate Pinning verwendet / den Proxy ignoriert / hauseigene Verschlüsselung nutzt Mitschnitt auf Anwendungsebene (diese Seite)
Ein reguläres Programm, das Sie mit einem Befehl starten können (Browser / Skript / CLI) Prozessbezogener Mitschnitt (müheloser)
Sie möchten den gesamten Datenverkehr der Maschine oder Nicht-HTTP-Verkehr sehen NIC-Mitschnitt
Eingebaute System-Apps auf macOS / hartnäckige Apps Mitschnitt auf Systemebene

Verwandt: Proxy-Mitschnitt · Certificate Pinning entfernen · Inspizieren & Decodieren