我面临以下情况:由于某些原因,我必须运行某人提供的 linux 二进制文件。
我可以看到(至少 tcpdump 可以看到)当我运行这个二进制文件时它正在通过 SSL 发送一些东西 - 所以我已经知道它正在做一些它不应该做的事情。我的问题:是否有可能找到它在做什么?我在考虑走两条路:
- 尝试反编译
- 设置我的 SSL,以便它为我提供未加密的流量
我已经检查过了,它是静态链接的,所以第二个选项可能不可行。
我需要强调的是,这是一次完全合法的尝试,试图找出其他人想从我身上找到什么。感谢您的宝贵时间。
最佳答案
几乎可以肯定它与 OpenSSL 相关。
此过程可能有效:
- 创建新的根证书
- 将根证书安装到您的证书库中
- 使用主机重映射或 ipfw 将其流量重定向到您的接收器。
- 从您的端点捕获流量,重新加密并发送到真实端点。
如果不是,您需要在二进制文件中找到加密点并拦截这些调用。不幸的是,有点难。
关于security - 从可疑二进制文件中提取 SSL 信息,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/4481570/