从可疑二进制文件中提取 SSL 信息

Question

我面临以下情况：由于某些原因我必须运行某人提供的linux二进制文件。

我可以看到（至少 tcpdump 可以看到）当我运行这个二进制文件时，它正在通过 SSL 发送一些东西 - 所以我已经知道它正在做一些不应该做的事情。我的问题：是否有可能找到它在做什么？我正在考虑走两条路线：

• 尝试反编译它
• 设置我的 SSL，以便它向我提供

我已经检查过的未加密流量，并且它是静态链接的，因此第二个选项可能无法实现。

我需要强调的是，这是一次完全合法的尝试，旨在了解其他人想了解我的哪些信息。感谢您抽出时间。

Answer 1

几乎可以肯定它与 OpenSSL 有关。

此过程可能有效：

1. 创建新的根证书
2. 将根证书安装到证书存储中
3. 使用主机重新映射或 ipfw 将其流量重定向到接收器。
4. 从您的端点捕获流量，重新加密并发送到真实端点。

如果没有，您需要在二进制文件中找到加密点并拦截这些调用。不幸的是，有点难。

Answer 2

strace 它并查看它打开了哪些文件。