Pular para o conteúdo

Captura por processo

Quer ver o tráfego de apenas um programa, mas não passar por toda a complicação de “alterar o proxy global, instalar um certificado, restaurar tudo depois da captura”? Dê um comando de inicialização e a ferramenta inicia o programa para você, captura apenas aquele e mostra texto claro desde a inicialização, com zero interferência nos outros softwares do sistema. A forma mais leve e limpa de capturar um único programa.


Colocar um único programa atrás de um proxy geralmente significa alterar o proxy do sistema, instalar um certificado para ele e restaurar tudo depois, com o risco de afetar outros softwares se você não tomar cuidado. A captura por processo pula tudo isso:

Um único programa via proxy (abordagem tradicional) Captura por processo
Proxy de todo o sistema Precisa alterar, e restaurar depois Intocado
Instalar um certificado Precisa instalar um, e o programa precisa confiar nele Não é necessário
Impacto em outros softwares Possível (um proxy global transborda) Zero interferência (afeta apenas este único programa)
Ver texto claro Só se o programa confiar no certificado Texto claro desde a inicialização (descriptografia automática para programas comuns)
Limpeza depois da captura Precisa restaurar o proxy / remover o certificado Só parar, nada para restaurar

Em resumo: a captura por proxy mexe com “a máquina inteira”, a captura por processo mexe apenas com “este único programa”. Se você quer ver de forma limpa o que um único programa está enviando, esta é a forma mais fácil.


  • Captura apenas este único programa, zero intrusão: não altera o proxy do sistema, não instala um certificado e não toca na NIC; apenas o programa que você inicia é capturado. Os outros softwares do sistema ficam totalmente inalterados, e não há limpeza depois da captura.
  • Texto claro desde a inicialização, cobertura ampla: navegadores, apps de desktop no estilo Electron, Node, Python, Java de desktop e ferramentas de linha de comando que usam bibliotecas de criptografia comuns todos mostram texto claro no momento em que um comando os inicia, sem nada para configurar no programa e sem certificado para instalar.
  • Processos filhos seguidos automaticamente: os processos filhos que o programa gera internamente também são capturados, nada é perdido.
  • Pronto quando você estiver: para depurar um script ou verificar uma API, informe um comando e comece a capturar, muito mais rápido do que configurar um proxy e instalar um certificado.

Em “Comando de inicialização”, informe o comando que você quer executar (por exemplo python3 app.py), e a ferramenta o iniciará e capturará apenas seu tráfego. Três exemplos com um clique já vêm embutidos; clique em um para preenchê-lo automaticamente, depois edite conforme a necessidade:

  • Exemplo de navegador: inicia uma janela de navegador separada e limpa (deixando intocado o navegador que você usa no dia a dia) e a captura diretamente; o HTTP/3 (QUIC) já foi configurado para voltar a uma conexão comum para você, então é fácil de capturar e descriptografável.
  • Exemplo de Python: envie uma requisição com um comando e veja o texto claro.
  • Exemplo de linha de comando: uma requisição HTTPS feita pela linha de comando é capturada imediatamente.

Nova sessão · Captura por processo: informe um comando de inicialização e a ferramenta inicia o programa para você, captura apenas aquele e o descriptografa automaticamente; exemplos com um clique de navegador / Python / linha de comando já vêm embutidos

Se um programa diferente que você está capturando também usa HTTP/3, ative o “Bloquear HTTP/3” no nível da sessão para fazê-lo voltar a uma conexão comum, o que igualmente o torna fácil de capturar e descriptografável.


4. Ver texto claro: o que funciona e o que precisa de outra abordagem

Seção intitulada “4. Ver texto claro: o que funciona e o que precisa de outra abordagem”
  • Programas comuns: texto claro desde a inicialização. Navegadores, apps Electron, Node, Python, Java de desktop e ferramentas de linha de comando que usam bibliotecas de criptografia comuns mostram texto claro diretamente após a inicialização, sem passos extras.

Resultado real: um programa iniciado por um único comando tem sua requisição HTTPS capturada e descriptografada; os detalhes mostram TLS “Descriptografado”, com os cabeçalhos da requisição e a resposta JSON dispostos com clareza

  • Alguns poucos programas não podem ser descriptografados (capturáveis, mas apenas texto cifrado): certos programas que usam bibliotecas de criptografia especiais não produzem texto claro com este método. O mais típico é o curl embutido do macOS (e ferramentas baseadas na mesma biblioteca de criptografia do sistema); alguns programas escritos puramente em Go são iguais.

    Para ver texto claro de HTTPS enviado pela linha de comando, o “Exemplo de Python” é o mais confiável; ou troque para um curl baseado em OpenSSL.

  • Programas que ignoram completamente as configurações de proxy: este método não consegue capturar o tráfego deles.

Para esses programas “fortificados” ou especiais, troque para a Captura na camada de aplicação, que lê o texto claro diretamente de dentro do programa e consegue tratar fixação de certificado, criptografia interna e bibliotecas de criptografia do sistema por igual.


Os dados capturados passam pelo mesmo processamento que todos os outros métodos de captura, e são igualmente fáceis de entender e decodificar:

  • Várias formas de visualizar: estruturado, texto embelezado, hex e detecção automática, alternáveis de forma independente para cada direção. Veja Inspecionar e decodificar para detalhes.
  • Descompressão e detecção automáticas: descomprime automaticamente gzip / brotli / deflate / zstd (incluindo múltiplas camadas empilhadas), e detecta e embeleza automaticamente JSON, XML, formulários, protobuf / gRPC e mais.
  • Codecs personalizados: para protocolos proprietários / internos, escreva um pequeno script para ensiná-lo a lê-los. Veja Decodificação de protocolo personalizado para detalhes.

6. Escolhendo entre os quatro métodos de captura locais

Seção intitulada “6. Escolhendo entre os quatro métodos de captura locais”
Sua situação Qual usar
Um programa comum que você pode iniciar com um comando (navegador / script / CLI) Captura por processo (esta página, a mais fácil)
Querer ver todo o tráfego da máquina, tráfego não-HTTP, ou tudo o que um programa faz na rede Captura por NIC
Um programa que já está em execução / usa fixação de certificado / ignora o proxy / usa criptografia interna / usa uma biblioteca de criptografia do sistema Captura na camada de aplicação
Apps internos do sistema no macOS / apps resistentes Captura em nível de sistema

  • Depurar um script / verificar uma API: você escreveu um script Python / Node e quer ver exatamente o que ele envia e recebe; informe um comando e veja o texto claro diretamente.
  • Observar apenas um programa: sem alterar as configurações do sistema nem afetar outros softwares, veja apenas com quem este único programa está falando.
  • Capturar uma sessão de navegador limpa: use o exemplo para iniciar uma janela de navegador separada, livre do ruído de todos os plugins e abas do seu navegador do dia a dia.

Relacionados: Captura por proxy · Captura na camada de aplicação · Inspecionar e decodificar