Sistem Düzeyinde Yakalama
Bazı hedefler, içeriden düz metin okunmasına bile izin vermez. macOS’un yerleşik uygulamaları ile özellikle inatçı, derinlemesine gizlenmiş uygulamalar, dışarıdan gelen her türlü müdahaleyi daha başlamadan engeller. Sistem düzeyinde yakalama programın içinde çalışmaz; sistemin alt katmanlarından gözlemler. Sıradan araçların yaklaşamadığı bu hedeflerin bile düz metni açıkça ortaya serilir. Bu, yerel yakalama yöntemlerinin elindeki son kozdur.
Bu makale macOS’u ele alır. Windows’ta, sistem ağ yığını üzerinden geçen sistem programları (.NET / PowerShell vb.) için eşdeğer bir yetenek vardır; bkz. Bu Makinede Uygulama Katmanı Yakalama.
1. “Diğer araçların erişemediğini” görür
Bölüm başlığı “1. “Diğer araçların erişemediğini” görür”macOS’un yerleşik uygulamalarının, sistem servislerinin veya o inatçı, derinlemesine gizlenmiş uygulamaların sunucularına ne söylediğini görmek mi istiyorsunuz? Normalde her adımda bir duvara toslarsınız: proxy yakalama dışlanır (sertifikayı reddederler ve düpedüz hata verirler), programın içinden düz metin okumak sistem korumalarıyla engellenir ve NIC üzerinde yakaladığınız yalnızca şifreli metindir. Sistem düzeyinde yakalama, bu alışverişlerin düz metnini okuyabilen az sayıdaki yöntemden biridir.
Yerel yakalama yöntemlerinin her biri bir öncekinden daha ileri gider ve bu yöntem en sonda durur:
| Hedef | NIC / süreç başına | Uygulama katmanı yakalama | Bu makinede sistem düzeyinde yakalama |
|---|---|---|---|
| Sıradan programlar | ✅ | ✅ | ✅ (fazlasıyla yeterli) |
| Sertifika sabitleme / özel şifreleme | 🔒 şifreli metin | ✅ düz metin | ✅ düz metin |
| İnatçı / yüksek düzeyde gizlenmiş uygulamalar | 🔒 / ❌ | ❌ müdahaleyi reddeder | ✅ düz metin |
| Yerleşik uygulamalar / sistem servisleri | 🔒 / ❌ | ❌ müdahaleyi reddeder | ✅ düz metin |
Önceki yöntemlerin hiçbiri hedefle baş edemediğinde, işi bu yönteme devredin.
2. Sistem uygulamalarına ulaşmasını sağlayan şey
Bölüm başlığı “2. Sistem uygulamalarına ulaşmasını sağlayan şey”- Programın içinde çalışmaz: Yerleşik uygulamalar ve inatçı uygulamalar programın içinde çalışan her türlü müdahaleyi engeller, bu yüzden uygulama katmanı yakalama bunlarda işe yaramaz. Sistem düzeyinde yakalama farklı bir açıdan yaklaşır: enjeksiyon yok, programda değişiklik yok, sertifika yok. Verileri sistemin alt katmanlarında, bant dışında okur, bu yüzden bu koruma onu durduramaz.
- Sertifikalara dokunmaz: Aradaki adam (man-in-the-middle) rolü oynamaz ve sertifikalara dokunmaz, bu yüzden sertifika sabitleme basitçe geçerli olmaz. Bu uygulamaların sertifika denetimleri ne kadar katı olursa olsun onu etkileyemez.
- Başkalarının ulaşamadığı katmana ulaşır: macOS’un yerleşik uygulamaları, App Store ve çeşitli sistem servisleri, sistemin alt düzeydeki ağ kanallarından geçer; bu kanallar da tesadüfen daha önceki tüm yakalama yöntemlerinin ortak kör noktasıdır. Sistem düzeyinde yakalama tam olarak bu katmanı kapsar ve tüm düz metinlerini tümüyle görünür kılar.
3. Hangi hedeflerle baş edebilir
Bölüm başlığı “3. Hangi hedeflerle baş edebilir”- Yerleşik uygulamalar ve sistem servisleri: App Store, sistem bileşenleri ve arka plan servisleri gibi macOS’un kendi programlarının ağ alışverişleri.
- İnatçı, derinlemesine gizlenmiş uygulamalar: trafiğini derine gömen ve dışarıdan gelen her türlü müdahaleyi reddeden üçüncü taraf programlar.
- Sıradan programlar: bunlarla da elbette baş edebilir, ancak bu fazlasıyla yeterli olur; sıradan programlar için önceki yöntemler daha basittir.
4. Nasıl kullanılır
Bölüm başlığı “4. Nasıl kullanılır”- Hedefi seçin: açılır listeden çalışan bir program seçin veya bir program yolu / adı girin.
- İsteğe bağlı olarak “başlatma anını” yakalayın: aracın önce programı kapatıp yeniden başlatmasına izin verin, böylece başlangıç anındaki trafik de yakalanır (kimlik doğrulama / el sıkışmaların çoğu tam o anda gerçekleşir).
- Yakalamayı başlatın ve programın gönderdiği ve aldığı düz metni görüntüleyin.


5. Yakalamadan sonra: okunabilir ve çözülebilir
Bölüm başlığı “5. Yakalamadan sonra: okunabilir ve çözülebilir”Alt katmanlardan okunan düz metin, diğer tüm yakalama yöntemleriyle aynı işlemden geçer:
- Birden çok görüntüleme modu: yapısal, metin güzelleştirme, onaltılık (hex) ve otomatik algılama; gönderme ve alma tarafları için bağımsız olarak değiştirilebilir. Bkz. Verileri Görüntüleme ve Çözme.
- Otomatik açma ve algılama: gzip / brotli / deflate / zstd’yi (birden çok üst üste yığılmış katman dahil) otomatik olarak açar ve JSON, XML, protobuf / gRPC ve daha fazlasını otomatik olarak algılayıp güzelleştirir.
6. Dört yerel yakalama yöntemi arasında nasıl seçim yapılır
Bölüm başlığı “6. Dört yerel yakalama yöntemi arasında nasıl seçim yapılır”| Durumunuz | Hangisi kullanılmalı |
|---|---|
| macOS yerleşik uygulamaları, inatçı uygulamalar (diğer yöntemlerle erişilemeyen) | Bu makinede sistem düzeyinde yakalama (bu makale) |
| Program zaten çalışıyor / sertifika sabitleme / proxy kabul etmiyor / özel şifreleme | Bu Makinede Uygulama Katmanı Yakalama |
| Komutla başlatabileceğiniz sıradan programlar (tarayıcılar / betikler / CLI) | Bu Makinede Süreç Başına Yakalama |
| Makinedeki tüm trafiği veya HTTP dışı trafiği görmek | Bu Makinede NIC Yakalama |
İlgili: Proxy Yakalama · Bu Makinede Uygulama Katmanı Yakalama · Verileri Görüntüleme ve Çözme