Capture op systeemniveau
Sommige doelen laten zelfs het lezen van leesbare tekst van binnenuit niet toe. Ingebouwde macOS-apps, samen met bijzonder hardnekkige, diep verstopte applicaties, blokkeren elke vorm van inmenging van buitenaf voordat die goed en wel begint. Capture op systeemniveau draait niet in het programma; het observeert vanuit de lagere lagen van het systeem. Zelfs deze doelen, waar gewone tools niet bij in de buurt komen, leggen hun leesbare tekst helemaal bloot. Dit is de laatste troef die de lokale capture-methodes in handen hebben.
Dit artikel behandelt macOS. Op Windows hebben systeemprogramma’s die via de netwerkstack van het systeem lopen (.NET / PowerShell, enz.) een gelijkwaardige mogelijkheid; zie Leesbare tekst op applicatielaag.
1. Het ziet wat “andere tools niet kunnen bereiken”
Section titled “1. Het ziet wat “andere tools niet kunnen bereiken””Wil je zien wat ingebouwde macOS-apps, systeemdiensten of die hardnekkige, diep verstopte applicaties naar hun servers sturen? Normaal loop je overal tegen een muur op: proxy-capture wordt buitengesloten (ze weigeren het certificaat en geven gewoon een fout), het lezen van leesbare tekst van binnenuit wordt geblokkeerd door systeembeveiligingen, en wat je op de NIC vastlegt is enkel versleutelde tekst. Capture op systeemniveau is een van de weinige manieren om de leesbare tekst van hun uitwisselingen te lezen.
De lokale capture-methodes gaan elk een stap verder dan de vorige, en deze staat helemaal aan het einde:
| Doel | NIC / per proces | Leesbare tekst op applicatielaag | Capture op systeemniveau op deze machine |
|---|---|---|---|
| Gewone programma’s | ✅ | ✅ | ✅ (overkill) |
| Certificate pinning / eigen versleuteling | 🔒 versleutelde tekst | ✅ leesbare tekst | ✅ leesbare tekst |
| Hardnekkige / sterk verstopte applicaties | 🔒 / ❌ | ❌ weigert inmenging | ✅ leesbare tekst |
| Ingebouwde apps / systeemdiensten | 🔒 / ❌ | ❌ weigert inmenging | ✅ leesbare tekst |
Wanneer geen van de eerdere methodes het doel aankan, geef je het aan deze.
2. Wat het in staat stelt systeem-apps te bereiken
Section titled “2. Wat het in staat stelt systeem-apps te bereiken”- Draait niet in het programma: ingebouwde apps en hardnekkige applicaties blokkeren elke vorm van inmenging die in het programma draait, zodat leesbare tekst op applicatielaag hier niet werkt. Capture op systeemniveau kiest een andere invalshoek: geen injectie, geen wijzigingen aan het programma, geen certificaten. Het leest out-of-band in de lagere lagen van het systeem, zodat deze bescherming het niet kan tegenhouden.
- Raakt certificaten niet aan: het treedt niet op als man-in-the-middle en raakt certificaten niet aan, zodat certificate pinning eenvoudigweg niet van toepassing is. Hoe streng de certificaatcontroles van deze applicaties ook zijn, ze kunnen er niets tegen doen.
- Bereikt de laag die andere niet kunnen: ingebouwde macOS-apps, de App Store en diverse systeemdiensten lopen via de lagere netwerkkanalen van het systeem, wat toevallig de gedeelde blinde vlek is van alle eerdere capture-methodes. Capture op systeemniveau dekt precies deze laag en brengt al hun leesbare tekst volledig in beeld.
3. Welke doelen het aankan
Section titled “3. Welke doelen het aankan”- Ingebouwde apps en systeemdiensten: de netwerkuitwisselingen van macOS’s eigen programma’s, zoals de App Store, systeemcomponenten en achtergronddiensten.
- Hardnekkige, diep verstopte applicaties: applicaties van derden die hun verkeer diep verstoppen en elke vorm van inmenging van buitenaf weigeren.
- Gewone programma’s: die kan het natuurlijk ook aan, maar dat is overkill; voor reguliere programma’s zijn de eerdere methodes eenvoudiger.
4. Hoe je het gebruikt
Section titled “4. Hoe je het gebruikt”- Kies het doel: selecteer een lopend programma uit de vervolgkeuzelijst, of vul een programmapad / -naam in.
- Optioneel leg “het opstartmoment” vast: laat de tool het programma eerst afsluiten en daarna opnieuw starten, zodat ook verkeer vanaf het allereerste opstartmoment wordt vastgelegd (veel authenticatie / handshakes gebeuren op dat moment).
- Start het vastleggen en bekijk de leesbare tekst die het programma verstuurt en ontvangt.


5. Na het vastleggen: leesbaar en decodeerbaar
Section titled “5. Na het vastleggen: leesbaar en decodeerbaar”De leesbare tekst die uit de lagere lagen wordt gelezen, doorloopt dezelfde verwerking als elke andere capture-methode:
- Meerdere kijkmodi: gestructureerd, tekst-opmaak, hex en automatische herkenning, elk onafhankelijk te wisselen voor de verzend- en ontvangstkant. Zie Data bekijken en decoderen.
- Automatische decompressie en herkenning: decomprimeert automatisch gzip / brotli / deflate / zstd (ook meerdere gestapelde lagen), en herkent en verfraait automatisch JSON, XML, protobuf / gRPC en meer.
6. Hoe je kiest tussen de vier lokale capture-methodes
Section titled “6. Hoe je kiest tussen de vier lokale capture-methodes”| Jouw situatie | Wat te gebruiken |
|---|---|
| Ingebouwde macOS-apps, hardnekkige applicaties (onbereikbaar met andere methodes) | Capture op systeemniveau op deze machine (dit artikel) |
| Programma draait al / certificate pinning / accepteert geen proxy’s / eigen versleuteling | Leesbare tekst op applicatielaag op deze machine |
| Reguliere programma’s die je via een commando kunt starten (browsers / scripts / CLI) | Capture per proces op deze machine |
| Al het verkeer op de machine willen zien, of niet-HTTP-verkeer | NIC-capture op deze machine |
Gerelateerd: Proxy-capture · Leesbare tekst op applicatielaag op deze machine · Data bekijken en decoderen