eCapture(中文名字为旁观者)是一款无需 CA 证书,就可以进行 HTTPS 通讯明文抓包的开源网络工具。基于C语言编写,遵守Apache2.0开源协议。

eCapture借助了eBPF Uprobe/Traffic Control实现的各种用户空间/内核空间的数据捕获,无需改动原程序。

  • SSL/HTTPS数据导出功能,针对HTTPS的数据包抓取,不需要导入CA证书。
  • 支持go tls类库的明文捕获,即使用golang语言编写的https/tls程序的加密通讯。
  • bash的命令捕获,HIDS的bash命令监控解决方案。
  • mysql query等数据库的数据库审计解决方案。

视频演示:

https://www.bilibili.com/video/BV1si4y1Q74a

源代码:https://github.com/gojue/ecapture