İçeriğe geç

Sistem Düzeyinde Yakalama

Bazı hedefler, içeriden düz metin okunmasına bile izin vermez. macOS’un yerleşik uygulamaları ile özellikle inatçı, derinlemesine gizlenmiş uygulamalar, dışarıdan gelen her türlü müdahaleyi daha başlamadan engeller. Sistem düzeyinde yakalama programın içinde çalışmaz; sistemin alt katmanlarından gözlemler. Sıradan araçların yaklaşamadığı bu hedeflerin bile düz metni açıkça ortaya serilir. Bu, yerel yakalama yöntemlerinin elindeki son kozdur.

Bu makale macOS’u ele alır. Windows’ta, sistem ağ yığını üzerinden geçen sistem programları (.NET / PowerShell vb.) için eşdeğer bir yetenek vardır; bkz. Bu Makinede Uygulama Katmanı Yakalama.


macOS’un yerleşik uygulamalarının, sistem servislerinin veya o inatçı, derinlemesine gizlenmiş uygulamaların sunucularına ne söylediğini görmek mi istiyorsunuz? Normalde her adımda bir duvara toslarsınız: proxy yakalama dışlanır (sertifikayı reddederler ve düpedüz hata verirler), programın içinden düz metin okumak sistem korumalarıyla engellenir ve NIC üzerinde yakaladığınız yalnızca şifreli metindir. Sistem düzeyinde yakalama, bu alışverişlerin düz metnini okuyabilen az sayıdaki yöntemden biridir.

Yerel yakalama yöntemlerinin her biri bir öncekinden daha ileri gider ve bu yöntem en sonda durur:

Hedef NIC / süreç başına Uygulama katmanı yakalama Bu makinede sistem düzeyinde yakalama
Sıradan programlar ✅ (fazlasıyla yeterli)
Sertifika sabitleme / özel şifreleme 🔒 şifreli metin ✅ düz metin ✅ düz metin
İnatçı / yüksek düzeyde gizlenmiş uygulamalar 🔒 / ❌ ❌ müdahaleyi reddeder düz metin
Yerleşik uygulamalar / sistem servisleri 🔒 / ❌ ❌ müdahaleyi reddeder düz metin

Önceki yöntemlerin hiçbiri hedefle baş edemediğinde, işi bu yönteme devredin.


2. Sistem uygulamalarına ulaşmasını sağlayan şey

Bölüm başlığı “2. Sistem uygulamalarına ulaşmasını sağlayan şey”
  • Programın içinde çalışmaz: Yerleşik uygulamalar ve inatçı uygulamalar programın içinde çalışan her türlü müdahaleyi engeller, bu yüzden uygulama katmanı yakalama bunlarda işe yaramaz. Sistem düzeyinde yakalama farklı bir açıdan yaklaşır: enjeksiyon yok, programda değişiklik yok, sertifika yok. Verileri sistemin alt katmanlarında, bant dışında okur, bu yüzden bu koruma onu durduramaz.
  • Sertifikalara dokunmaz: Aradaki adam (man-in-the-middle) rolü oynamaz ve sertifikalara dokunmaz, bu yüzden sertifika sabitleme basitçe geçerli olmaz. Bu uygulamaların sertifika denetimleri ne kadar katı olursa olsun onu etkileyemez.
  • Başkalarının ulaşamadığı katmana ulaşır: macOS’un yerleşik uygulamaları, App Store ve çeşitli sistem servisleri, sistemin alt düzeydeki ağ kanallarından geçer; bu kanallar da tesadüfen daha önceki tüm yakalama yöntemlerinin ortak kör noktasıdır. Sistem düzeyinde yakalama tam olarak bu katmanı kapsar ve tüm düz metinlerini tümüyle görünür kılar.

  • Yerleşik uygulamalar ve sistem servisleri: App Store, sistem bileşenleri ve arka plan servisleri gibi macOS’un kendi programlarının ağ alışverişleri.
  • İnatçı, derinlemesine gizlenmiş uygulamalar: trafiğini derine gömen ve dışarıdan gelen her türlü müdahaleyi reddeden üçüncü taraf programlar.
  • Sıradan programlar: bunlarla da elbette baş edebilir, ancak bu fazlasıyla yeterli olur; sıradan programlar için önceki yöntemler daha basittir.

  1. Hedefi seçin: açılır listeden çalışan bir program seçin veya bir program yolu / adı girin.
  2. İsteğe bağlı olarak “başlatma anını” yakalayın: aracın önce programı kapatıp yeniden başlatmasına izin verin, böylece başlangıç anındaki trafik de yakalanır (kimlik doğrulama / el sıkışmaların çoğu tam o anda gerçekleşir).
  3. Yakalamayı başlatın ve programın gönderdiği ve aldığı düz metni görüntüleyin.

Yeni oturum · Bu makinede sistem düzeyinde yakalama: çalışan bir program seçin (veya bir yol / ad girin) ve düz metin alışverişlerini sistemin alt katmanlarından, bant dışında gözlemleyin; başlangıcı kapsamak için “hedefi yeniden başlat” seçeneğini işaretleyebilirsiniz

Canlı sonuç: hedef programı sistemin alt katmanlarından, bant dışında gözlemlemek, HTTPS alışverişleri tümüyle düz metne dönüştürülür, ayrıntı görünümü “şifresi çözüldü” gösterir ve istekler ile yanıtlar tek tek sıralanır


Alt katmanlardan okunan düz metin, diğer tüm yakalama yöntemleriyle aynı işlemden geçer:

  • Birden çok görüntüleme modu: yapısal, metin güzelleştirme, onaltılık (hex) ve otomatik algılama; gönderme ve alma tarafları için bağımsız olarak değiştirilebilir. Bkz. Verileri Görüntüleme ve Çözme.
  • Otomatik açma ve algılama: gzip / brotli / deflate / zstd’yi (birden çok üst üste yığılmış katman dahil) otomatik olarak açar ve JSON, XML, protobuf / gRPC ve daha fazlasını otomatik olarak algılayıp güzelleştirir.

6. Dört yerel yakalama yöntemi arasında nasıl seçim yapılır

Bölüm başlığı “6. Dört yerel yakalama yöntemi arasında nasıl seçim yapılır”
Durumunuz Hangisi kullanılmalı
macOS yerleşik uygulamaları, inatçı uygulamalar (diğer yöntemlerle erişilemeyen) Bu makinede sistem düzeyinde yakalama (bu makale)
Program zaten çalışıyor / sertifika sabitleme / proxy kabul etmiyor / özel şifreleme Bu Makinede Uygulama Katmanı Yakalama
Komutla başlatabileceğiniz sıradan programlar (tarayıcılar / betikler / CLI) Bu Makinede Süreç Başına Yakalama
Makinedeki tüm trafiği veya HTTP dışı trafiği görmek Bu Makinede NIC Yakalama

İlgili: Proxy Yakalama · Bu Makinede Uygulama Katmanı Yakalama · Verileri Görüntüleme ve Çözme