有使用 HTTP Debugger 的吗，这个软件是啥原理

Fiddler 呢

@crissx fiddler 是 proxy 类软件，这种太多了

可能用 Inline Hook 网络相关的 API

钩子扫描没发现 inline hook 和 iat hook ，况且这个得遍历进程吧，感觉可能性不大。这个软件真的很神奇，https 的都可以直接看到明文，非常好奇原理

Charles ？ 这个需不需要代理忘记了

这个页有部分说明，5.0 之前使用的 hook ，之后是中间人安装根证书的方式（新版 chrome 不支持 hook ）
https://www.httpdebugger.com/http/http_sniffer.html

@flyhaozi 写的是中间人方式，也不一定是安装根证书，应该也有其他方式来解密 https ，抓包原理猜测是 wireshark 那种？

听你的描述有点像 Debookee ，它可以在手机完全不设置的情况下抓手机的明文包，也可以在手机不修改额外设置的情况下（只导入 CA 证书）直接看到手机的 HTTPS 请求内容
我感觉是网卡的混杂模式，加上可能用了 arp 攻击之类的原理来让内网设备的流量强行经过自己

但是 Debookee 价格超贵（死

@zephyru Charles 需要代理的
@flyhaozi 但是没看到它改系统代理

@Debookee http debugger 是 win 软件。。。

是 hook 没错了

有个系统变量 ssl key log(类似，准确名请自行搜索

软件读 log 即可 decrypt

fiddler 也可用 log decrypt ，不用 mitm
摸索下配置

用的驱动级 hook 进程

就是这个让我困扰了好久，之前用 pc 夸克网盘下东西的时候下一点就失败，点继续又可以下一点还是失败，后面和夸克的技术人员排查了好久都没解决，直到我打开了 httpdebugger 下载就正常了，果然是这个引起的。但是我就奇怪了，系统代理里也没有设置这个，开机启动项也没这个，最后终于在服务里找到了 http debugger ，停用就解决了。

@fuzzsh 你说的是针对 chrome 类型的吧，但是 httpdebugger 可用于所有软件

@businessch 有相关的函数名吗

@chocolatesir 长期开 http debugger 好像是有问题，有可能是 14 楼说的驱动级 hook 进程

@wjx0912 giao ，还以为真有黑魔法呢，我装了 HTTP Debugger ，发现想解密 https 流量，还是需要安装 CA 证书，成为中间人。
tls 流量从原理上来说，在传输过程中是基本不可能被解密的，只有在终端上捕获产生的对称加密密钥，或者捕获加密解码函数，在函数调用前和返回后，捕获未加密或已解密的数据包，eBPF 等 hook 技能就能做到。

关于抓包就更简单了，设置系统代理只是最简单的方式、hook 进程、驱动层捕获内核流量、tun/tap 等虚拟网卡技术加全局路由，实现透明代理，然后配合巨硬的 MIB 库轻松实现进程级流量控制。

winsock SPI 分层网络，可能是这个，名字可能不对，这个关键字肯定能检错出来

@1194129822 所以结论是不能看 https 的明文吧？
Windows 有啥办法可以看一个应用的 https 明文

HTTP Debugger 会启动 HttpDebuggerSdk 和 HTTPDebuggerPro 这两个服务，其中 HttpDebuggerSdk 会加载事先释放到%WINDIR%\System32\HttpDebuggerSdk.sys 的驱动程序。原理就在这个驱动的文件说明里，如下图（都不用逆向了

cdn.sa.net/2024/03/10/mTAHRIa5JiwfMSp.png

HTTP Debugger 直接把从 netfilters[dot]com 那里买来的驱动拿来用；利用 Windows Filtering Platform （ WFP ）的确可以在无需额外配置的情况下相比竞品抓到更多数据，而且还不用改 System Proxy 设置。

解密 TLS 的原理的话，HTTP Debugger 和其它同品类软件的原理应该是类似的。（捕获数据时，可以看到浏览器里网站们的证书颁发机构的 Common Name 都是"HTTP DEBUGGER CA for DEBUG ONLY 2"。

感谢各位高手

@epiphyllum 太专业了，讲解的非常清晰。谢谢