Pular para o conteúdo

Captura na camada de aplicação

Alguns programas estão além do alcance tanto do proxy quanto da NIC: eles usam fixação de certificado, ignoram o proxy por completo ou usam criptografia interna. A captura na camada de aplicação segue um caminho diferente: ela lê o texto claro diretamente de dentro do programa. Não instala certificado, não configura proxy e não captura NIC, então todas aquelas “defesas” simplesmente não se aplicam, e você continua vendo o que ele realmente está enviando e recebendo. Este é o ponto cego mais típico das ferramentas de captura comuns, e é o recurso matador deste modo.


1. O que os outros não conseguem obter em texto claro, este consegue

Seção intitulada “1. O que os outros não conseguem obter em texto claro, este consegue”
A “defesa” do programa-alvo Captura por proxy Captura por NIC Captura na camada de aplicação
Fixação de certificado ❌ Não conecta / dá erro 🔒 Apenas texto cifrado ✅ Texto claro
Ignora o proxy do sistema ❌ Não consegue capturar 🔒 Apenas texto cifrado ✅ Texto claro
Criptografia interna / não padronizada ❌ Não consegue descriptografar 🔒 Apenas texto cifrado ✅ Texto claro

O princípio é simples: ela lê o texto claro diretamente de dentro do programa, sem intermediário e sem tocar em certificados, então todas aquelas defesas voltadas para “o intermediário” e “o certificado” simplesmente não se aplicam.

Resultado real: selecione um programa em execução e leia o texto claro enviado/recebido diretamente de dentro dele, listado um a um por direção (Enviado ↑ / Rec ↓), com a requisição HTTP completa em texto claro nos detalhes


Ela não é exigente quanto a bibliotecas de criptografia ou pilhas de tecnologia. Ler o texto claro de dentro do programa cobre muito mais programas do que o proxy ou a NIC conseguem:

  • Quer o programa use uma biblioteca de criptografia popular ou obscura, o texto claro pode ser lido de dentro.
  • Quer seja um programa nativo ou um app escrito com vários frameworks multiplataforma (clientes de desktop, apps multiplataforma…), ele pode ser tratado do mesmo jeito.
  • Até programas que se comunicam usando a criptografia embutida do sistema operacional são cobertos, incluindo .NET / PowerShell e outros programas que usam a pilha de rede do sistema Windows. Esses costumam ser os pontos cegos com que outras ferramentas mais se debatem, mas aqui o texto claro ainda é lido de dentro.
  • Em resumo: navegadores, clientes de desktop, programas nativos… muitos alvos que são “apenas texto cifrado” em outros lugares são texto claro bem aqui.

3. Ela também consegue tratar os casos mais difíceis

Seção intitulada “3. Ela também consegue tratar os casos mais difíceis”

Para os programas mais difíceis, há mais duas medidas:

  • “Tráfego de socket”, uma reserva de nível mais baixo: para programas que são enxutos, tiveram seus símbolos removidos, ou são escritos com uma pilha de tecnologia mais nova (por exemplo, puramente em Go, Rust, ou usando a pilha de rede do sistema Windows), quando a abordagem comum não consegue encontrar seu ponto de entrada de criptografia/descriptografia, ative este interruptor e ela toma um caminho de nível mais baixo para pegar os dados e ainda assim obter texto claro, sem depender de conseguir localizar o ponto de entrada de criptografia/descriptografia do programa e sem depender da NIC. Muitos programas em que outras ferramentas ficam completamente travadas podem ser tratados desta forma.
  • Capturar “o momento da inicialização”: boa parte da autenticação e do handshake acontece no instante em que um programa inicia pela primeira vez. Feche-o primeiro e deixe a ferramenta iniciá-lo, e esse tráfego de início inicial também é capturado, para que você não perca aquela primeira requisição crítica.

Nova sessão · Captura na camada de aplicação: escolha um programa em execução (ou informe o caminho de um programa) e leia o texto claro diretamente de dentro dele; marque “Reiniciar alvo” para capturar o início inicial, ou “Tráfego de socket” para uma reserva de nível mais baixo


O texto claro lido de dentro passa pelo mesmo processamento que todos os outros métodos de captura:

  • Várias formas de visualizar: estruturado, texto embelezado, hex e detecção automática, alternáveis de forma independente para cada direção. Veja Inspecionar e decodificar para detalhes.
  • Descompressão e detecção automáticas: descomprime automaticamente gzip / brotli / deflate / zstd (incluindo múltiplas camadas empilhadas), e detecta e embeleza automaticamente JSON, XML, formulários, protobuf / gRPC e mais.
  • Codecs personalizados: para protocolos de socket proprietários / internos, escreva um pequeno script para ensiná-lo a lê-los. Veja Decodificação de protocolo personalizado para detalhes.

  • Melhor para: programas com fixação de certificado, que ignoram o proxy, ou que usam criptografia interna / não padronizada, onde nem o proxy nem a NIC conseguem obter texto claro.
  • Funciona diretamente num programa em execução: selecione um programa em execução e leia seu texto claro de dentro, na hora, sem necessidade de reiniciá-lo ou alterar qualquer configuração dele (você também pode informar o caminho de um programa e deixar a ferramenta iniciá-lo para você).
  • Alveja apenas o programa selecionado: por padrão, ela não se expande automaticamente para todos os processos filhos do programa; programas com múltiplos processos / múltiplas janelas podem precisar ser selecionados separadamente.
  • Quando passar para a captura em nível de sistema: apps internos do sistema no macOS, junto com apps especialmente resistentes e profundamente ocultos, recusam toda intervenção externa, e este modo não consegue entrar; para esses alvos, troque para a Captura em nível de sistema (que não entra no programa e observa a partir dos níveis mais baixos do sistema).

6. Escolhendo entre os quatro métodos de captura locais

Seção intitulada “6. Escolhendo entre os quatro métodos de captura locais”
Sua situação Qual usar
Um programa que já está em execução / usa fixação de certificado / ignora o proxy / usa criptografia interna Captura na camada de aplicação (esta página)
Um programa comum que você pode iniciar com um comando (navegador / script / CLI) Captura por processo (mais fácil)
Querer ver todo o tráfego da máquina, ou tráfego não-HTTP Captura por NIC
Apps internos do sistema no macOS / apps resistentes Captura em nível de sistema

Relacionados: Captura por proxy · Limpar a fixação de certificado · Inspecionar e decodificar