有使用 HTTP Debugger 的吗，这个软件是啥原理

Fiddler 呢

@crissx fiddler 是 proxy 类软件，这种太多了

可能用 Inline Hook 网络相关的 API

钩子扫描没发现 inline hook 和 iat hook ，况且这个得遍历进程吧，感觉可能性不大。这个软件真的很神奇，https 的都可以直接看到明文，非常好奇原理

Charles ？ 这个需不需要代理忘记了

这个页有部分说明，5.0 之前使用的 hook ，之后是中间人安装根证书的方式（新版 chrome 不支持 hook ）
https://www.httpdebugger.com/http/http_sniffer.html

@flyhaozi 写的是中间人方式，也不一定是安装根证书，应该也有其他方式来解密 https ，抓包原理猜测是 wireshark 那种？

听你的描述有点像 Debookee ，它可以在手机完全不设置的情况下抓手机的明文包，也可以在手机不修改额外设置的情况下（只导入 CA 证书）直接看到手机的 HTTPS 请求内容
我感觉是网卡的混杂模式，加上可能用了 arp 攻击之类的原理来让内网设备的流量强行经过自己

但是 Debookee 价格超贵（死

@zephyru Charles 需要代理的
@flyhaozi 但是没看到它改系统代理

@Debookee http debugger 是 win 软件。。。

是 hook 没错了

有个系统变量 ssl key log(类似，准确名请自行搜索

软件读 log 即可 decrypt

fiddler 也可用 log decrypt ，不用 mitm
摸索下配置

用的驱动级 hook 进程

就是这个让我困扰了好久，之前用 pc 夸克网盘下东西的时候下一点就失败，点继续又可以下一点还是失败，后面和夸克的技术人员排查了好久都没解决，直到我打开了 httpdebugger 下载就正常了，果然是这个引起的。但是我就奇怪了，系统代理里也没有设置这个，开机启动项也没这个，最后终于在服务里找到了 http debugger ，停用就解决了。

@fuzzsh 你说的是针对 chrome 类型的吧，但是 httpdebugger 可用于所有软件

@businessch 有相关的函数名吗

@chocolatesir 长期开 http debugger 好像是有问题，有可能是 14 楼说的驱动级 hook 进程

@wjx0912 giao ，还以为真有黑魔法呢，我装了 HTTP Debugger ，发现想解密 https 流量，还是需要安装 CA 证书，成为中间人。
tls 流量从原理上来说，在传输过程中是基本不可能被解密的，只有在终端上捕获产生的对称加密密钥，或者捕获加密解码函数，在函数调用前和返回后，捕获未加密或已解密的数据包，eBPF 等 hook 技能就能做到。

关于抓包就更简单了，设置系统代理只是最简单的方式、hook 进程、驱动层捕获内核流量、tun/tap 等虚拟网卡技术加全局路由，实现透明代理，然后配合巨硬的 MIB 库轻松实现进程级流量控制。

winsock SPI 分层网络，可能是这个，名字可能不对，这个关键字肯定能检错出来