Ir al contenido

Captura a nivel de sistema

Algunos objetivos ni siquiera permiten leer texto plano desde dentro. Las apps integradas de macOS, junto con aplicaciones especialmente obstinadas y profundamente ocultas, bloquean todo tipo de interferencia externa antes de que empiece. La captura a nivel de sistema no se ejecuta dentro del programa; observa desde las capas más bajas del sistema. Incluso estos objetivos, a los que las herramientas ordinarias no logran ni acercarse, tienen su texto plano al descubierto. Esta es la última carta que guardan los métodos de captura local.

Este artículo cubre macOS. En Windows, los programas del sistema que van por la pila de red del sistema (.NET / PowerShell, etc.) tienen una capacidad equivalente; consulta Captura a nivel de aplicación en esta máquina.


1. Ve lo que “otras herramientas no alcanzan”

Sección titulada «1. Ve lo que “otras herramientas no alcanzan”»

¿Quieres ver qué les dicen a sus servidores las apps integradas de macOS, los servicios del sistema o esas aplicaciones obstinadas y profundamente ocultas? Normalmente te topas con un muro a cada paso: la captura por proxy queda fuera (rechazan el certificado y simplemente lanzan un error), leer el texto plano desde dentro del programa lo bloquean las protecciones del sistema, y lo que capturas en la NIC es solo texto cifrado. La captura a nivel de sistema es una de las pocas formas de leer el texto plano de sus intercambios.

Los métodos de captura local van cada uno más allá que el anterior, y este está justo al final:

Objetivo NIC / por proceso Captura a nivel de aplicación Captura a nivel de sistema en esta máquina
Programas ordinarios ✅ (excesivo)
Fijación de certificado / cifrado propio 🔒 texto cifrado ✅ texto plano ✅ texto plano
Aplicaciones obstinadas / muy ocultas 🔒 / ❌ ❌ rechaza la interferencia texto plano
Apps integradas / servicios del sistema 🔒 / ❌ ❌ rechaza la interferencia texto plano

Cuando ninguno de los métodos anteriores puede con el objetivo, pásaselo a este.


2. Qué le permite alcanzar las apps del sistema

Sección titulada «2. Qué le permite alcanzar las apps del sistema»
  • No se ejecuta dentro del programa: las apps integradas y las aplicaciones obstinadas bloquean todo tipo de interferencia que se ejecute dentro del programa, así que la captura a nivel de aplicación no funciona con ellas. La captura a nivel de sistema toma otro ángulo: sin inyección, sin cambios al programa, sin certificados. Lee fuera de banda en las capas más bajas del sistema, así que esta protección no puede detenerla.
  • No toca certificados: no actúa como intermediario y no toca certificados, así que la fijación de certificado simplemente no aplica. Por muy estrictas que sean las comprobaciones de certificado de estas aplicaciones, no pueden afectarla.
  • Alcanza la capa que otros no pueden: las apps integradas de macOS, la App Store y diversos servicios del sistema van por los canales de red de más bajo nivel del sistema, que resultan ser el punto ciego compartido de todos los métodos de captura anteriores. La captura a nivel de sistema cubre exactamente esta capa, poniendo todo su texto plano a plena vista.

  • Apps integradas y servicios del sistema: los intercambios de red de los propios programas de macOS, como la App Store, los componentes del sistema y los servicios en segundo plano.
  • Aplicaciones obstinadas y profundamente ocultas: programas de terceros que entierran su tráfico en lo hondo y rechazan todo tipo de interferencia externa.
  • Programas ordinarios: por supuesto también puede con estos, pero es excesivo; para programas normales los métodos anteriores son más sencillos.

  1. Elige el objetivo: escoge un programa en ejecución del desplegable, o rellena una ruta / nombre de programa.
  2. Opcionalmente captura “el momento del lanzamiento”: deja que la herramienta cierre el programa primero y luego lo relance, para que el tráfico del arranque temprano también se capture (mucha autenticación / handshake ocurre en ese instante).
  3. Empieza a capturar y visualiza el texto plano que el programa envía y recibe.

Nueva sesión · Captura a nivel de sistema en esta máquina: elige un programa en ejecución (o rellena una ruta / nombre) y observa sus intercambios en texto plano fuera de banda desde las capas más bajas del sistema; puedes marcar “reiniciar objetivo” para cubrir el arranque temprano

Resultado en vivo: observando el programa objetivo fuera de banda desde las capas más bajas del sistema, sus intercambios HTTPS quedan totalmente restaurados a texto plano, la vista de detalle muestra “descifrado”, y las peticiones y respuestas se alinean una a una


El texto plano leído desde las capas más bajas pasa por el mismo procesamiento que todos los demás métodos de captura:

  • Múltiples modos de visualización: estructurado, embellecido de texto, hex y detección automática, conmutables de forma independiente para el lado de envío y el de recepción. Consulta Visualización y decodificación de datos.
  • Descompresión y detección automáticas: descomprime automáticamente gzip / brotli / deflate / zstd (incluidas varias capas apiladas), y detecta y embellece automáticamente JSON, XML, protobuf / gRPC y más.

6. Cómo elegir entre los cuatro métodos de captura local

Sección titulada «6. Cómo elegir entre los cuatro métodos de captura local»
Tu situación Cuál usar
Apps integradas de macOS, aplicaciones obstinadas (inalcanzables por otros métodos) Captura a nivel de sistema en esta máquina (este artículo)
Programa ya en ejecución / fijación de certificado / no acepta proxies / cifrado propio Captura a nivel de aplicación en esta máquina
Programas normales que puedes iniciar mediante comando (navegadores / scripts / CLI) Captura por proceso en esta máquina
Quieres ver todo el tráfico de la máquina, o tráfico no HTTP Captura por NIC en esta máquina

Relacionado: Captura por proxy · Captura a nivel de aplicación en esta máquina · Visualización y decodificación de datos