Android上抓包HTTPS是不是越来越难了?高版本无法添加CA证书、抓包软件依赖太多,VPN模式或HOOK会被检测。 救星来了, eCapture无需CA证书即可抓获HTTPS明文。支持Android系统,Wireshark直接查看。
eBPF网络程序新手指南 By Liz Rice
使用eBPF LSM热修复Linux内核漏洞
前面我们讨论了Tetragon产品实时阻断实现原理,那你知道它为什么没选择eBPF LSM吗? bpf_send_signal颗粒度是进程,而eBPF LSM的颗粒度是函数,更精确,控制范围也不一样,可以对函数调用堆栈做调整,达到替换执行的目标函数。业务场景就是对于漏洞的热更新了。本文就是一个简单的eBPF LSM实现思路,核心内容是确定精准HOOK点的思路。怎么找HOOK点?HOOK点挂载后,对性能影响是什么?如何做权衡?接下来,我们一起了解一下。
eCapture的几个好消息,支持Android…
Tetragon进程阻断原理
文章较长,可直接看文末视频。5月份Isovalent发布了基于eBPF技术的运行时实时防御产品Tetragon,引起业内广泛关注,实时阻断能力也受到很大争议,并被传统安全厂商EXP绕过挑战。今天我们一起来看下阻断能力的技术原理。
新型eBPF后门boopkit的原理分析与演示
前段时间的Bvp47木马利用BPF技术敲门,想必你已经精通了吧?笔者曾担忧在eBPF加持下,用在后门场景会更加恐怖。这不GitHub上开源了一个Boopkit,今天笔者跟大家一起来了解一下它的技术原理,使用了哪些eBPF程序功能。它是如何实现任意开启的TCP端口服务,远程唤醒后门,并生成反弹shell的。
eCapture:无需CA证书抓https网络明文通讯
eCapture是一款基于eBPF技术实现的用户态数据捕获工具。不需要CA证书,即可捕获https/tls的通讯明文。eCapture系统用户态程序使用Golang语言开发,具有良好的系统兼容性,无依赖快速部署,更适合云原生场景。内核态代码使用C编写,使用clang/llvm编译,生产bpf字节码后,采用go-bindata转化为golang语法文件,之后采用ehids/ebpfmanager类库,调用bpf syscall进行加载、HOOK、map读取。
Linux中基于eBPF的恶意利用与检测机制
聊一聊《Bvp47 美国NSA方程式的顶级后门》中的BPF隐藏信道
在《Bvp47 美国NSA方程式的顶级后门》的文章,里面提到后门使用BPF技术做通信信道的隐藏,本身不监听端口,通过特定SYN包唤醒后门。而且隐藏近二十年之久。恰巧笔者近期在学习eBPF,且在春节前用eBPF技术实现了类似功能的后门DEMO,对这块特别感兴趣。 好奇它的兼容性是如何做的,HOOK点是如何选择的?用的BPF/eBPF哪个内核版本的类库?