eCapture 用户态数据捕获工具_开源项目-程序员客栈

eCapture是一款基于eBPF技术实现的用户态数据捕获工具。不需要CA证书，即可捕获https/tls的通讯明文。

项目在2022年3月中旬创建，一经发布，广受大家喜爱，至今不到两周已经1200多个Star。

作用不需要CA证书，即可捕获HTTPS/TLS通信数据的明文。在bash审计场景，可以捕获bash命令。数据库审计场景，可以捕获mysqld/mariadDB的SQL查询。官网代码仓库见：https://github.com/ehids/ecapture 。

产品架构eCapture系统用户态程序使用Golang语言开发，具有良好的系统兼容性，无依赖快速部署，更适合云原生场景。内核态代码使用C编写，使用clang/llvm编译，生产bpf字节码后，采用go-bindata转化为golang语法文件，之后采用ehids/ebpfmanager类库，调用bpfsyscall进行加载、HOOK、map读取。golang编译后，无其他任何依赖即可运行，兼容linuxkernel4.18以上所有版本。

eBPF加载机制关于eBPF详细加载机制，可到https://ebpf.io/查阅相关原理。

实现原理如工作原理的图所示，在用户态的加密解密函数中下钩子。tcpdump(libpcap)是在数据包接收到，XDP处理后，进行clonepacket，进行包的复制，发送给用户态进程。二者工作的所在层不一样。

功能介绍eCapture有三个模块

tls/ssl明文数据捕获bash命令审计mysqld数据库审计第一个功能适用于基于tls/ssl解密需求的运维监控、故障排查、抽样分析场景。

第二个功能适用于安全领域的bash入侵发现场景，这里只是简单的功能，可以在此基础上增加其他功能。

第三个功能适用于数据库审计场景，尤其是做数据安全、数据防泄漏，甚至入侵检测等。同样，可以在此基础上扩充其他功能。

查看其使用说明，如下

cfc4n@vm-desktop:~/ehids/ecapture$./bin/ecaptureNAME:ecapture-capturetextSSLcontentwithoutCAcertbyebpfhook.USAGE:ecapture[flags]VERSION:0.1.5-20220325-47edbedCOMMANDS:bashcapturebashcommandhelpHelpaboutanycommandmysqld56capturesqlqueriesfrommysqld>5.6.tlsaliasname:openssl,usetocapturetls/ssltextcontentwithoutCAcert.DESCRIPTION:ecapture是一款无需安装CA证书，即可抓去HTTPS、TLS等明文数据包的工具。也可以捕获bash的命令，适用于安全审计场景。包括mysqld的数据库审计等。仓库地址:https://github.com/ehids/ecaptureOPTIONS:--debug[=false]enabledebuglogging-h,--help[=false]helpforecapture--hex[=false]printbytestringsashexencodedstrings-p,--pid=0iftarget_pidis0thenwetargetallpids其中，有四个全局参数，分别是

--debug，用于启动调试日志--help，查看帮助--hex，按照hex模式打印字符，用与查看不可见字符--pid，用于针对特定进程进行数据捕获HOOK机制eCapture采用eBPFuprobe相关函数进行HOOK，故需要目标用户态函数信息，包含函数符号表(symboltable)，函数偏移地址(offset)。在大部分linux发行版中，使用的二进制可执行文件(ELF)都是包含符号表的；少部分发行版，会去掉ELF中的符号表。那么针对这种场景，就需要用户自行定位目标函数所在ELF/SO中的偏移地址，通过工具的参数来指定。

对于ELF文件，可以将目标类库静态编译到自身，也可以通过动态链接库的方式引用。那么对于这两种形式，eCapture根据不同场景进行自动查找。若查找不到，用户可以通过命令行参数指定。

故eCapture支持HOOKELF，以及HOOKSO两种模式。会自动分析ELF文件，读取.dynamic和.dynsym等段信息，查找相关链接库名以及函数名、偏移地址。

查找原理如下图：

tls/sslecapturetls命令用于启动tls/ssl模块，支持了三类tls/ssl加密类库，分别是

openssl，动态链接库名字为libssl.sognutls，动态链接库名字为libgnutls.sonss/nspr，动态链接库名字为libnspr4.so

在不同的linux发行版中，因为各种原因，会选择不同的类库。比如wget程序，在ubuntu跟centos中就会使用不同的类库。有的是openssl，有的是gnutls，甚至两个库都引入了。

具体情况，你可以使用ldd$ELF_PATH|grep-E"tls|ssl|nspr|nss"来查看一个ELF文件使用类库情况。

cfc4n@vm-desktop:~$ps-ef|grepfirefoxcfc4n684614324517:50?00:00:04/usr/lib/firefox/firefox-new-windowcfc4n@vm-desktop:~$sudopldd6846|grep-E"tls|ssl|nspr|nss"/usr/lib/firefox/libnspr4.so/usr/lib/firefox/libnssutil3.so/usr/lib/firefox/libnss3.so/usr/lib/firefox/libssl3.so/lib/x86_64-linux-gnu/libnss_files.so.2/lib/x86_64-linux-gnu/libnss_mdns4_minimal.so.2/lib/x86_64-linux-gnu/libnss_dns.so.2/usr/lib/firefox/libnssckbi.soeCapture的tls模块命令行参数如下，用户可以使用默认配置外，也可以根据自己环境自行指定。

OPTIONS:--curl=""curlorwgetfilepath,usetodectetopenssl.sopath,default:/usr/bin/curl--firefox=""firefoxfilepath,default:/usr/lib/firefox/firefox.--gnutls=""libgnutls.sofilepath,willautomaticallyfinditfromcurldefault.-h,--help[=false]helpfortls--libssl=""libssl.sofilepath,willautomaticallyfinditfromcurldefault.--nspr=""libnspr44.sofilepath,willautomaticallyfinditfromcurldefault.--wget=""wgetfilepath,default:/usr/bin/wget.同时，使用方法也比较简单，./ecapturetls--hex命令即可。

在linux上，firefox程序中，有很多通讯都使用了/usr/lib/firefox/libnspr4.so，但实际上业务请求是可以通过SocketThread进程来发送的。可以通过这个特点来过滤，对于chrome程序，相信细心的你，也能搞定。

bash笔者在安全部门工作，接到过bash审计需求，其实现方法无非是修改系统类库、使用内核模块等技术实现，对系统稳定性有一定风险。基于eBPF技术实现，可以避开这些问题。这里的bash命令的监控，是作为eBPF技术在安全审计场景中的一个探索。

eCapture在实现时首先查找ENV的$SHELL值，作为bash的二进制文件路径进行HOOK。对于bash加载了libreadline.so的场景，也会自动分析，进行符号表查找、offset定位，再进行HOOK。

bash模块的参数有三个，用户可以自定义bash、readlineso的路径。

OPTIONS:--bash=""$SHELLfilepath,eg:/bin/bash,willautomaticallyfinditfrom$ENVdefault.-h,--help[=false]helpforbash--readlineso=""readline.sofilepath,willautomaticallyfinditfrom$BASH_PATHdefault.

mysql/mariadb与bash模块一样，也是作为数据库审计的一个探索。笔者环境为ubuntu12.04，mysqld也因为协议关系，使用了衍生的MariadDB，用户也可以根据自己实际场景，使用命令行参数进行指定。

mysqld模块，核心原理是HOOK了dispatch_command函数，

第一个参数为CMD类型，值为COM_QUERY时，为查询场景，即审计需求的查询类型。第二个参数是THD的结构体，在这里我们用不到。第三个是查询的SQL语句第四个参数是SQL语句的长度，//https://github.com/MariaDB/server/blob/b5852ffbeebc3000982988383daeefb0549e058a/sql/sql_parse.h#L112dispatch_command_returndispatch_command(enumenum_server_commandcommand,THD*thd,char*packet,uintpacket_length,boolblocking=true);mysqld审计模块参数如下:

OPTIONS:-f,--funcname=""functionnametohook-h,--help[=false]helpformysqld56-m,--mysqld="/usr/sbin/mariadbd"mysqldbinaryfilepath,usetohook--offset=00x710410其中，--mysqld是用来指定mysqld的路径。mysqld二进制程序符号表里虽然有dispatch_command信息，但dispatch_command这个函数名每次编译都是变化的，故不能写死。

eCapture的查找方式是读取mysqld二进制的.dynamic段信息，正则语法\\w+dispatch_command\\w+去匹配所有符号信息，找到其函数名、偏移地址，再使用。

你也可以通过objdump命令来查找，再通过命令行参数自行指定funcname。

mariadbdversion:10.5.13-MariaDB-0ubuntu0.21.04.1objdump-T/usr/sbin/mariadbd|grepdispatch_command0000000000710410gDF.text0000000000002f35Base_Z16dispatch_command19enum_server_commandP3THDPcjbb

即offset为0x710410，函数名为_Z16dispatch_command19enum_server_commandP3THDPcjbb。

使用下载二进制包eCapture发布在https://github.com/ehids/ecapture/releases，目前最新版为eCapturev0.1.5。

可在linuxkernel4.18以上版本运行。

二进制包地址：

https://github.com/ehids/ecapture/releases/download/v0.1.5/ecapture_v0.1.5.zip

国内加速地址：https://github.do/https://github.com/ehids/ecapture/releases/download/v0.1.5/ecapture_v0.1.5.zip

自行编译代码仓库在https://github.com/ehids/ecapture，可以自行修改源码编译。

演示视频：

https://v.qq.com/txp/iframe/player.html?vid=d3329w21qe6