Извлечь информацию SSL из подозрительного двоичного файла

Question

Я сталкиваюсь со следующей ситуацией: по некоторым причинам я вынужден запускать бинарный файл Linux, предоставленный кем-то.

Я вижу (по крайней мере, tcpdump может видеть это), что этот двоичный файл посылает что-то по SSL, когда я запускаю его - поэтому я уже знаю, что он делает то, чего не должен делать. Мой вопрос: можно ли найти, что он делает? Я думал идти двумя путями:

• Попробуй декомпилировать
• Настройте мой SSL так, чтобы он передавал мне незашифрованный трафик

Я уже проверил, и он статически связан, поэтому второй вариант может быть невозможен.

Я должен подчеркнуть, что это совершенно законная попытка выяснить, что другие хотят обо мне узнать. Спасибо за ваше время.

Answer 1

Это почти наверняка связано с OpenSSL.

Эта процедура может работать:

1. Создать новый корневой сертификат
2. Установите корневой сертификат в хранилище сертификатов
3. Перенаправьте трафик на ваш приемник, используя переназначение хоста или ipfw.
4. Захватывайте трафик с вашей конечной точки, повторно шифруйте и отправляйте на реальную.

Если это не так, вам нужно найти точки шифрования в двоичном файле и перехватить эти вызовы. Трудно, к сожалению.

Answer 2

освободите его и посмотрите, какие файлы он открывает.