eCapture支持boringssl TLS 1.3明文数据包捕获

2023/01/082023/01/09 CFC4N 所谓技术

一个多月前，有网友反馈Android上，TLS 1.2明文网络包正常捕获，而1.3的密钥无法捕获。笔者得知这个问题后，花了几个周末时间修复、添加了这个功能。在这期间，笔者工作繁忙以及感染新冠，整个功能拖了1个月才完成。精力与体力，支撑起来越来越吃力。搞开源，全是靠爱发电，实属不易。

使用 eBPF-TC 在内核中安全地改变数据包

2023/01/07 CFC4N 所谓技术

eBPF 允许你在 OS 内核中安全地运行沙箱程序，用于安全性和网络等功能，而无需修改内核源代码或加载内核模块。eBPF-TC 具有牢固的数据包处理能力，并支持入口和出口操作，而且性能很高。

使用eBPF实现基于DWARF的堆栈遍历

2022/12/012022/12/01 CFC4N 所谓技术

我们是 BPF 的忠实信徒，有很多原因。从广义上讲，它允许 Linux 内核以更高的安全保证和更低的学习门槛进行编程。
在 BPF 中开发分析器非常有意义，因为一旦实现了堆栈遍历机制，我们就可以利用 perf 子系统来获取有关 CPU 周期、指令、L3 缓存未命中或我们机器中可用的任何其他性能计数器的样本。它还有助于开发其他工具，如分配跟踪器、off-CPU分析器等。

实战eBPF kprobe函数插桩

2022/11/212022/11/21 CFC4N 所谓技术

说起eBPF大家都不陌生，在实际使用时，基于各种需求场景，kprobe的出场机会比较多。在eBPF kprobe实战过程中，你遇到过因为业务需求kprobe 需要获取多个参数的场景吗？如果你也纠结过如何取得超过6个的参数，本文尝试带你一起揭开这层面纱。

如何使用eBPF观测用户空间应用程序

2022/10/272023/01/20 CFC4N 所谓技术

很多刚接触eBPF的朋友会问我，eCapture的原理是什么，为什么区分OpenSSL、Gnutls、Nspr等类库实现？为什么要设定OpenSSL类库地址？为什么C、JAVA、Go实现的https通讯程序，在eCapture上实现却不一样。对于这些问题，我觉得核心问题是大家对「eBPF实现用户空间的行为跟踪」原理不了解，

eCapture旁观者：Android HTTPS明文抓包，无需CA证书

2022/09/132022/09/29 CFC4N 4 Comments 所谓技术

Android上抓包HTTPS是不是越来越难了？高版本无法添加CA证书、抓包软件依赖太多，VPN模式或HOOK会被检测。救星来了， eCapture无需CA证书即可抓获HTTPS明文。支持Android系统，Wireshark直接查看。

eBPF网络程序新手指南 By Liz Rice

2022/07/112022/07/12 CFC4N 所谓技术

Liz Rice在线敲代码，演示eBPF 程序如何在内核中加载、运行，以及如何附加到各种网络事件。本视频侧重于网络示例，深入了解 eBPF 程序如何检查和修改数据包，以形成复杂和高性能网络服务。

使用eBPF LSM热修复Linux内核漏洞

2022/06/302022/08/18 CFC4N 2 Comments 所谓技术

前面我们讨论了Tetragon产品实时阻断实现原理，那你知道它为什么没选择eBPF LSM吗？ bpf_send_signal颗粒度是进程，而eBPF LSM的颗粒度是函数，更精确，控制范围也不一样，可以对函数调用堆栈做调整，达到替换执行的目标函数。业务场景就是对于漏洞的热更新了。本文就是一个简单的eBPF LSM实现思路，核心内容是确定精准HOOK点的思路。怎么找HOOK点？HOOK点挂载后，对性能影响是什么？如何做权衡？接下来，我们一起了解一下。