Mitschnitt auf Systemebene
Manche Ziele erlauben nicht einmal, Klartext aus ihrem Inneren zu lesen. Eingebaute macOS-Apps sowie besonders hartnäckige, tief verborgene Anwendungen blockieren jeden Eingriff von außen, bevor er beginnt. Der Mitschnitt auf Systemebene läuft nicht im Programm; er beobachtet aus den tieferen Ebenen des Systems. Selbst diesen Zielen, an die gewöhnliche Tools nicht im Ansatz herankommen, wird der Klartext offengelegt. Dies ist die letzte Karte, die die lokalen Mitschnitt-Methoden in der Hand halten.
Dieser Artikel behandelt macOS. Unter Windows haben Systemprogramme, die über den System-Netzwerkstack laufen (.NET / PowerShell usw.), eine äquivalente Fähigkeit; siehe Mitschnitt auf Anwendungsebene auf dieser Maschine.
1. Er sieht, was „andere Tools nicht erreichen“
Abschnitt betitelt „1. Er sieht, was „andere Tools nicht erreichen““Sie möchten sehen, was eingebaute macOS-Apps, Systemdienste oder jene hartnäckigen, tief verborgenen Anwendungen zu ihren Servern sagen? Normalerweise stoßen Sie auf Schritt und Tritt an eine Wand: Der Proxy-Mitschnitt wird ausgesperrt (sie verweigern das Zertifikat und werfen einfach einen Fehler), das Lesen von Klartext aus dem Inneren des Programms wird durch Systemschutz blockiert, und was Sie an der NIC mitschneiden, ist nur Chiffretext. Der Mitschnitt auf Systemebene ist eine der wenigen Möglichkeiten, den Klartext ihres Austauschs zu lesen.
Die lokalen Mitschnitt-Methoden gehen jeweils weiter als die vorige, und diese steht ganz am Ende:
| Ziel | NIC / prozessbezogen | Mitschnitt auf Anwendungsebene | Mitschnitt auf Systemebene auf dieser Maschine |
|---|---|---|---|
| Gewöhnliche Programme | ✅ | ✅ | ✅ (überdimensioniert) |
| Certificate Pinning / eigene Verschlüsselung | 🔒 Chiffretext | ✅ Klartext | ✅ Klartext |
| Hartnäckige / stark verborgene Anwendungen | 🔒 / ❌ | ❌ verweigert Eingriff | ✅ Klartext |
| Eingebaute Apps / Systemdienste | 🔒 / ❌ | ❌ verweigert Eingriff | ✅ Klartext |
Wenn keine der früheren Methoden das Ziel bewältigen kann, übergeben Sie es dieser.
2. Was ihn an System-Apps herankommen lässt
Abschnitt betitelt „2. Was ihn an System-Apps herankommen lässt“- Läuft nicht im Programm: Eingebaute Apps und hartnäckige Anwendungen blockieren jeden Eingriff, der im Programm läuft, sodass der Mitschnitt auf Anwendungsebene bei ihnen nicht funktioniert. Der Mitschnitt auf Systemebene nimmt einen anderen Blickwinkel: keine Injektion, keine Änderungen am Programm, keine Zertifikate. Er liest außerhalb des Kanals auf den tieferen Systemebenen, sodass dieser Schutz ihn nicht stoppen kann.
- Fasst keine Zertifikate an: Er agiert nicht als Mittelsmann und fasst keine Zertifikate an, sodass Certificate Pinning schlicht nicht greift. Egal wie streng die Zertifikatsprüfungen dieser Anwendungen sind, sie können ihn nicht beeinträchtigen.
- Erreicht die Ebene, die andere nicht erreichen: Eingebaute macOS-Apps, der App Store und diverse Systemdienste laufen über die tieferen Netzwerkkanäle des Systems, die zufällig der gemeinsame blinde Fleck aller früheren Mitschnitt-Methoden sind. Der Mitschnitt auf Systemebene deckt genau diese Ebene ab und bringt ihren gesamten Klartext vollständig zum Vorschein.
3. Welche Ziele er bewältigen kann
Abschnitt betitelt „3. Welche Ziele er bewältigen kann“- Eingebaute Apps und Systemdienste: der Netzwerkaustausch von macOS’ eigenen Programmen, etwa dem App Store, Systemkomponenten und Hintergrunddiensten.
- Hartnäckige, tief verborgene Anwendungen: Drittanbieterprogramme, die ihren Datenverkehr tief vergraben und jeden Eingriff von außen verweigern.
- Gewöhnliche Programme: Diese kann er natürlich ebenfalls bewältigen, aber das ist überdimensioniert; für reguläre Programme sind die früheren Methoden einfacher.
4. So verwenden Sie es
Abschnitt betitelt „4. So verwenden Sie es“- Ziel wählen: Wählen Sie ein laufendes Programm aus der Dropdown-Liste oder tragen Sie einen Programmpfad / -namen ein.
- Optional „den Moment des Starts“ mitschneiden: Lassen Sie das Tool das Programm zuerst schließen und dann neu starten, sodass auch der Datenverkehr der frühen Startphase mitgeschnitten wird (viel Authentifizierung / Handshakes geschehen in diesem Augenblick).
- Starten Sie den Mitschnitt und betrachten Sie den Klartext, den das Programm sendet und empfängt.


5. Nach dem Mitschnitt: lesbar und decodierbar
Abschnitt betitelt „5. Nach dem Mitschnitt: lesbar und decodierbar“Der aus den tieferen Ebenen gelesene Klartext durchläuft die gleiche Verarbeitung wie bei jeder anderen Mitschnitt-Methode:
- Mehrere Ansichten: strukturiert, Text-Aufbereitung, Hex und automatische Erkennung, für Sende- und Empfangsseite unabhängig umschaltbar. Siehe Datenansicht und Decodierung.
- Automatisches Dekomprimieren und Erkennen: dekomprimiert automatisch gzip / brotli / deflate / zstd (auch mehrere gestapelte Schichten) und erkennt und formatiert JSON, XML, protobuf / gRPC und mehr automatisch.
6. Die Wahl zwischen den vier lokalen Mitschnitt-Methoden
Abschnitt betitelt „6. Die Wahl zwischen den vier lokalen Mitschnitt-Methoden“| Ihre Situation | Welche Sie verwenden |
|---|---|
| Eingebaute macOS-Apps, hartnäckige Anwendungen (von anderen Methoden nicht erreichbar) | Mitschnitt auf Systemebene auf dieser Maschine (dieser Artikel) |
| Programm läuft bereits / Certificate Pinning / akzeptiert keine Proxys / eigene Verschlüsselung | Mitschnitt auf Anwendungsebene auf dieser Maschine |
| Reguläre Programme, die Sie per Befehl starten können (Browser / Skripte / CLI) | Prozessbezogener Mitschnitt auf dieser Maschine |
| Sie möchten den gesamten Datenverkehr der Maschine oder Nicht-HTTP-Verkehr sehen | NIC-Mitschnitt auf dieser Maschine |
Verwandt: Proxy-Mitschnitt · Mitschnitt auf Anwendungsebene auf dieser Maschine · Datenansicht und Decodierung