Captura por processo
Quer ver o tráfego de apenas um programa, mas não passar por toda a complicação de “alterar o proxy global, instalar um certificado, restaurar tudo depois da captura”? Dê um comando de inicialização e a ferramenta inicia o programa para você, captura apenas aquele e mostra texto claro desde a inicialização, com zero interferência nos outros softwares do sistema. A forma mais leve e limpa de capturar um único programa.
1. Como se difere da captura por proxy
Seção intitulada “1. Como se difere da captura por proxy”Colocar um único programa atrás de um proxy geralmente significa alterar o proxy do sistema, instalar um certificado para ele e restaurar tudo depois, com o risco de afetar outros softwares se você não tomar cuidado. A captura por processo pula tudo isso:
| Um único programa via proxy (abordagem tradicional) | Captura por processo | |
|---|---|---|
| Proxy de todo o sistema | Precisa alterar, e restaurar depois | Intocado |
| Instalar um certificado | Precisa instalar um, e o programa precisa confiar nele | Não é necessário |
| Impacto em outros softwares | Possível (um proxy global transborda) | Zero interferência (afeta apenas este único programa) |
| Ver texto claro | Só se o programa confiar no certificado | Texto claro desde a inicialização (descriptografia automática para programas comuns) |
| Limpeza depois da captura | Precisa restaurar o proxy / remover o certificado | Só parar, nada para restaurar |
Em resumo: a captura por proxy mexe com “a máquina inteira”, a captura por processo mexe apenas com “este único programa”. Se você quer ver de forma limpa o que um único programa está enviando, esta é a forma mais fácil.
2. Onde ela brilha
Seção intitulada “2. Onde ela brilha”- Captura apenas este único programa, zero intrusão: não altera o proxy do sistema, não instala um certificado e não toca na NIC; apenas o programa que você inicia é capturado. Os outros softwares do sistema ficam totalmente inalterados, e não há limpeza depois da captura.
- Texto claro desde a inicialização, cobertura ampla: navegadores, apps de desktop no estilo Electron, Node, Python, Java de desktop e ferramentas de linha de comando que usam bibliotecas de criptografia comuns todos mostram texto claro no momento em que um comando os inicia, sem nada para configurar no programa e sem certificado para instalar.
- Processos filhos seguidos automaticamente: os processos filhos que o programa gera internamente também são capturados, nada é perdido.
- Pronto quando você estiver: para depurar um script ou verificar uma API, informe um comando e comece a capturar, muito mais rápido do que configurar um proxy e instalar um certificado.
3. Como usar
Seção intitulada “3. Como usar”Em “Comando de inicialização”, informe o comando que você quer executar (por exemplo python3 app.py), e a ferramenta o iniciará e capturará apenas seu tráfego. Três exemplos com um clique já vêm embutidos; clique em um para preenchê-lo automaticamente, depois edite conforme a necessidade:
- Exemplo de navegador: inicia uma janela de navegador separada e limpa (deixando intocado o navegador que você usa no dia a dia) e a captura diretamente; o HTTP/3 (QUIC) já foi configurado para voltar a uma conexão comum para você, então é fácil de capturar e descriptografável.
- Exemplo de Python: envie uma requisição com um comando e veja o texto claro.
- Exemplo de linha de comando: uma requisição HTTPS feita pela linha de comando é capturada imediatamente.

Se um programa diferente que você está capturando também usa HTTP/3, ative o “Bloquear HTTP/3” no nível da sessão para fazê-lo voltar a uma conexão comum, o que igualmente o torna fácil de capturar e descriptografável.
4. Ver texto claro: o que funciona e o que precisa de outra abordagem
Seção intitulada “4. Ver texto claro: o que funciona e o que precisa de outra abordagem”- Programas comuns: texto claro desde a inicialização. Navegadores, apps Electron, Node, Python, Java de desktop e ferramentas de linha de comando que usam bibliotecas de criptografia comuns mostram texto claro diretamente após a inicialização, sem passos extras.

- Alguns poucos programas não podem ser descriptografados (capturáveis, mas apenas texto cifrado): certos programas que usam bibliotecas de criptografia especiais não produzem texto claro com este método. O mais típico é o
curlembutido do macOS (e ferramentas baseadas na mesma biblioteca de criptografia do sistema); alguns programas escritos puramente em Go são iguais.Para ver texto claro de HTTPS enviado pela linha de comando, o “Exemplo de Python” é o mais confiável; ou troque para um
curlbaseado em OpenSSL. - Programas que ignoram completamente as configurações de proxy: este método não consegue capturar o tráfego deles.
Para esses programas “fortificados” ou especiais, troque para a Captura na camada de aplicação, que lê o texto claro diretamente de dentro do programa e consegue tratar fixação de certificado, criptografia interna e bibliotecas de criptografia do sistema por igual.
5. Depois de capturar: entender, decodificar
Seção intitulada “5. Depois de capturar: entender, decodificar”Os dados capturados passam pelo mesmo processamento que todos os outros métodos de captura, e são igualmente fáceis de entender e decodificar:
- Várias formas de visualizar: estruturado, texto embelezado, hex e detecção automática, alternáveis de forma independente para cada direção. Veja Inspecionar e decodificar para detalhes.
- Descompressão e detecção automáticas: descomprime automaticamente gzip / brotli / deflate / zstd (incluindo múltiplas camadas empilhadas), e detecta e embeleza automaticamente JSON, XML, formulários, protobuf / gRPC e mais.
- Codecs personalizados: para protocolos proprietários / internos, escreva um pequeno script para ensiná-lo a lê-los. Veja Decodificação de protocolo personalizado para detalhes.
6. Escolhendo entre os quatro métodos de captura locais
Seção intitulada “6. Escolhendo entre os quatro métodos de captura locais”| Sua situação | Qual usar |
|---|---|
| Um programa comum que você pode iniciar com um comando (navegador / script / CLI) | Captura por processo (esta página, a mais fácil) |
| Querer ver todo o tráfego da máquina, tráfego não-HTTP, ou tudo o que um programa faz na rede | Captura por NIC |
| Um programa que já está em execução / usa fixação de certificado / ignora o proxy / usa criptografia interna / usa uma biblioteca de criptografia do sistema | Captura na camada de aplicação |
| Apps internos do sistema no macOS / apps resistentes | Captura em nível de sistema |
7. Casos de uso típicos
Seção intitulada “7. Casos de uso típicos”- Depurar um script / verificar uma API: você escreveu um script Python / Node e quer ver exatamente o que ele envia e recebe; informe um comando e veja o texto claro diretamente.
- Observar apenas um programa: sem alterar as configurações do sistema nem afetar outros softwares, veja apenas com quem este único programa está falando.
- Capturar uma sessão de navegador limpa: use o exemplo para iniciar uma janela de navegador separada, livre do ruído de todos os plugins e abas do seu navegador do dia a dia.
Relacionados: Captura por proxy · Captura na camada de aplicação · Inspecionar e decodificar