分析 exe 文件 https 连接

Question

尝试通过 TLS 代理运行来自 exe 文件的流量，以检查解密的 TLS 流量。您可以使用极地代理（我们的工具）或SSLsplit生成包含以下流量的 PCAP 文件解密表单。另一个选择是通过mitmproxy并让其导出 SSL 密钥材料。

此外，设置 SSLKEYLOGFILE 环境变量可能不会有太大帮助，因为只有少数应用程序（主要是浏览器）会尊重它。大多数其他软件将继续照常执行 SSL，而不记录任何密钥。在尝试分析恶意软件的网络流量时，这个问题尤其明显。

Answer 1

尝试通过 TLS 代理运行来自 exe 文件的流量，以检查解密的 TLS 流量。您可以使用极地代理（我们的工具）或SSLsplit生成包含以下流量的 PCAP 文件解密表单。另一个选择是通过mitmproxy并让其导出 SSL 密钥材料。

此外，设置 SSLKEYLOGFILE 环境变量可能不会有太大帮助，因为只有少数应用程序（主要是浏览器）会尊重它。大多数其他软件将继续照常执行 SSL，而不记录任何密钥。在尝试分析恶意软件的网络流量时，这个问题尤其明显。

相关内容