Leesbare tekst op applicatielaag
Sommige programma’s zijn buiten bereik van zowel de proxy als de NIC: ze gebruiken certificate pinning, negeren de proxy volledig of gebruiken eigen versleuteling. Leesbare tekst op applicatielaag kiest een andere weg: het leest leesbare tekst rechtstreeks van binnenuit het programma. Er wordt geen certificaat geïnstalleerd, geen proxy geconfigureerd en geen NIC vastgelegd, dus al die “verdedigingen” zijn simpelweg niet van toepassing, en je ziet nog steeds wat het echt verstuurt en ontvangt. Dit is de meest typische blinde vlek van gewone tools, en het is de killer feature van deze modus.
1. Waar anderen geen leesbare tekst krijgen, lukt het hier wel
Section titled “1. Waar anderen geen leesbare tekst krijgen, lukt het hier wel”| De “verdediging” van het doelprogramma | Proxy-capture | NIC-capture | Leesbare tekst op applicatielaag |
|---|---|---|---|
| Certificate pinning | ❌ Kan geen verbinding maken / geeft fouten | 🔒 Alleen versleutelde tekst | ✅ Leesbare tekst |
| Negeert de systeemproxy | ❌ Kan niet vastleggen | 🔒 Alleen versleutelde tekst | ✅ Leesbare tekst |
| Eigen / niet-standaard versleuteling | ❌ Kan niet ontsleutelen | 🔒 Alleen versleutelde tekst | ✅ Leesbare tekst |
Het principe is simpel: het leest leesbare tekst rechtstreeks van binnenuit het programma, zonder man-in-the-middle en zonder certificaten aan te raken, zodat al die verdedigingen die zijn gericht op “de man-in-the-middle” en “het certificaat” simpelweg niet van toepassing zijn.

2. Hoe breed de dekking is
Section titled “2. Hoe breed de dekking is”Het is niet kieskeurig over cryptobibliotheken of techstacks. Leesbare tekst van binnenuit het programma lezen dekt veel meer programma’s dan de proxy of de NIC kunnen:
- Of het programma nu een gangbare of een obscure cryptobibliotheek gebruikt, de leesbare tekst kan van binnenuit worden gelezen.
- Of het nu een native programma is of een app geschreven met diverse cross-platform frameworks (desktopclients, cross-platform apps…), het kan allemaal op dezelfde manier worden behandeld.
- Zelfs programma’s die communiceren via de ingebouwde crypto van het besturingssysteem worden gedekt, inclusief .NET / PowerShell en andere programma’s die de netwerkstack van het Windows-systeem gebruiken. Dit zijn vaak de blinde vlekken waar andere tools het meeste moeite mee hebben, maar ook hier wordt de leesbare tekst nog steeds van binnenuit gelezen.
- Kortom: browsers, desktopclients, native programma’s… veel doelen die elders “alleen versleutelde tekst” opleveren, zijn hier gewoon leesbare tekst.
3. Ook de lastigere gevallen worden aangepakt
Section titled “3. Ook de lastigere gevallen worden aangepakt”Voor de moeilijkste programma’s zijn er nog twee extra middelen:
- “Socketverkeer”, een terugval op lager niveau: voor programma’s die uitgekleed zijn, hun symbolen kwijt zijn, of met een nieuwere techstack zijn geschreven (bijvoorbeeld puur Go, Rust, of met de netwerkstack van het Windows-systeem), wanneer de gewone aanpak hun versleutelings-/ontsleutelingsinstappunt niet kan vinden, zet je deze schakelaar aan en neemt de tool een route op lager niveau om de data te bemachtigen en toch leesbare tekst te krijgen, zonder afhankelijk te zijn van het kunnen lokaliseren van het versleutelings-/ontsleutelingsinstappunt van het programma en zonder afhankelijk te zijn van de NIC. Veel programma’s waar andere tools volledig op vastlopen, kunnen zo worden aangepakt.
- “Het moment van opstarten” vastleggen: veel authenticatie en handshakes gebeuren op het moment dat een programma voor het eerst start. Sluit het eerst af en laat de tool het starten, en dit vroege opstartverkeer wordt ook vastgelegd, zodat je dat cruciale eerste verzoek niet mist.

4. Na de capture: begrijpen, decoderen
Section titled “4. Na de capture: begrijpen, decoderen”De van binnenuit gelezen leesbare tekst doorloopt dezelfde verwerking als bij elke andere capture-methode:
- Meerdere kijkwijzen: gestructureerd, opgemaakte tekst, hex en automatische herkenning, per richting onafhankelijk om te schakelen. Zie Inspecteren en decoderen voor details.
- Automatische decompressie en herkenning: decomprimeert automatisch gzip / brotli / deflate / zstd (ook meerdere gestapelde lagen), en herkent en formatteert automatisch JSON, XML, formulieren, protobuf / gRPC en meer.
- Eigen decoders: voor eigen / interne socketprotocollen schrijf je een kort script om de tool te leren hoe die te lezen. Zie Eigen protocoldecodering voor details.
5. Bereik en grenzen
Section titled “5. Bereik en grenzen”- Het beste voor: programma’s met certificate pinning, die de proxy negeren, of die eigen / niet-standaard versleuteling gebruiken, waarbij noch de proxy noch de NIC leesbare tekst kan krijgen.
- Werkt direct op een draaiend programma: selecteer een draaiend programma en lees zijn leesbare tekst ter plekke van binnenuit, zonder het te hoeven herstarten of instellingen te wijzigen (je kunt ook een programmapad invoeren en de tool het laten starten).
- Richt zich alleen op het geselecteerde programma: standaard breidt het zich niet automatisch uit naar alle kindprocessen van het programma; multi-proces-/multi-vensterprogramma’s moeten mogelijk apart worden geselecteerd.
- Wanneer je overschakelt naar capture op systeemniveau: ingebouwde systeem-apps op macOS, samen met bijzonder hardnekkige, diep verborgen apps, weigeren elke vorm van externe inmenging, en deze modus kan er niet bij; schakel voor die doelen over naar Capture op systeemniveau (dat niet het programma binnengaat maar observeert vanaf de lagere niveaus van het systeem).
6. Kiezen tussen de vier lokale capture-methodes
Section titled “6. Kiezen tussen de vier lokale capture-methodes”| Jouw situatie | Wat te gebruiken |
|---|---|
| Een programma dat al draait / certificate pinning gebruikt / de proxy negeert / eigen versleuteling gebruikt | Leesbare tekst op applicatielaag (deze pagina) |
| Een gewoon programma dat je met een commando kunt starten (browser / script / CLI) | Capture per proces (moeiteloosser) |
| Al het verkeer op de machine willen zien, of niet-HTTP-verkeer | NIC-capture |
| Ingebouwde systeem-apps op macOS / hardnekkige apps | Capture op systeemniveau |
Gerelateerd: Proxy-capture · Certificate pinning opheffen · Inspecteren en decoderen