ecapture 介绍
eBPF HOOK uprobe实现的各种用户态进程的数据捕获,无需改动原程序。
- SSL/HTTPS数据导出功能,针对HTTPS的数据包抓取,不需要导入CA证书。
- bash的命令捕获,HIDS的bash命令监控解决方案。
- mysql query等数据库的数据库审计解决方案。
原理
eBPF技术
参考ebpf官网的介绍
uprobe HOOK
https的ssl hook
本项目hook了/lib/x86_64-linux-gnu/libssl.so.1.1的SSL_write、SSL_read函数的返回值,拿到明文信息,通过ebpf map传递给用户进程。
Probes: []*manager.Probe{
{
Section: "uprobe/SSL_write",
EbpfFuncName: "probe_entry_SSL_write",
AttachToFuncName: "SSL_write",
//UprobeOffset: 0x386B0,
BinaryPath: "/lib/x86_64-linux-gnu/libssl.so.1.1",
},
{
Section: "uretprobe/SSL_write",
EbpfFuncName: "probe_ret_SSL_write",
AttachToFuncName: "SSL_write",
//UprobeOffset: 0x386B0,
BinaryPath: "/lib/x86_64-linux-gnu/libssl.so.1.1",
},
{
Section: "uprobe/SSL_read",
EbpfFuncName: "probe_entry_SSL_read",
AttachToFuncName: "SSL_read",
//UprobeOffset: 0x38380,
BinaryPath: "/lib/x86_64-linux-gnu/libssl.so.1.1",
},
{
Section: "uretprobe/SSL_read",
EbpfFuncName: "probe_ret_SSL_read",
AttachToFuncName: "SSL_read",
//UprobeOffset: 0x38380,
BinaryPath: "/lib/x86_64-linux-gnu/libssl.so.1.1",
},
/**/
},bash的readline hook
hook了/bin/bash的readline函数。
使用方法
安装使用,可以选择编译,也可以直接下载二进制包。
笔者环境ubuntu 21.04, linux kernel 5.10以上通用。
编译
git clone git@github.com:ehids/ecapture.git
cd ecapture
make
bin/ecapture使用
https的无证书抓包 ssldump
执行任意https网络请求即可使用。
wget https://www.qq.com演示
https://v.qq.com/txp/iframe/player.html?vid=m33278fdqt8
bash的shell捕获
ps -ef|grep foo