今天给大家分享一款基于 eBPF 技术实现的用户态数据捕获工具【eCapture】

什么是 eCapture ？

eCapture是一款基于eBPF（Extended Berkeley Packet Filter）技术实现的用户态数据捕获工具。能够无需 CA 证书即可捕获HTTPS和TLS通信的明文内容，非常适合于网络监控、安全审计和故障排查等场景。

eCapture 的功能特点

无需CA证书捕获HTTPS/TLS明文：eCapture 能够在不依赖 CA 证书的情况下，捕获 HTTPS 和 TLS 通信的明文数据。

用户态数据捕获：主要在用户态进行数据捕获，减少对内核的依赖，提高系统的稳定性和安全性。

内核态支持：内核态代码使用 C 语言编写，利用 eBPF 技术进行高效的数据捕获。

无依赖部署：编译后的程序无需其他依赖即可运行，简化了部署和维护过程。

多语言支持：支持对多种编程语言实现的加密库进行 HOOK，如 OpenSSL、GnuTLS、NSS/NSPR。

bash 命令审计：能够捕获 bash 命令，适用于安全审计和监控。

数据库审计：能够捕获 mysqld/mariadDB 的 SQL 查询，适用于数据库审计。

eBPF 加载机制：利用 eBPF 技术进行数据包的捕获和处理，eBPF 程序是事件驱动的，当内核或应用程序通过某个挂钩点时运行。

HOOK机制：使用 eBPF uprobe 相关函数进行用户态函数的 HOOK，支持对不同编程语言实现的加密库进行HOOK。

性能优化：eBPF 技术提供了高效的数据捕获能力，减少了对系统性能的影响。

实时监控：能够实时监控网络流量和系统行为，及时发现异常。

日志记录：可以记录捕获的数据，方便后续分析和审计。

项目地址

https://github.com/gojue/ecapture

原创 小飞 GitHub开源小黑板