Захват на уровне приложения
Некоторые программы недосягаемы ни для прокси, ни для сетевой карты: они используют закрепление сертификата, полностью игнорируют прокси или применяют собственное шифрование. Захват на уровне приложения идёт другим путём: он читает открытый текст прямо изнутри программы. Он не устанавливает сертификат, не настраивает прокси и не захватывает сетевую карту, так что все эти «защиты» попросту не срабатывают, и вы всё равно видите, что программа реально отправляет и получает. Это самое типичное слепое пятно для обычных инструментов захвата, и именно оно — коронная особенность этого режима.
1. То, для чего другие не могут получить открытый текст, — здесь получается
Заголовок раздела «1. То, для чего другие не могут получить открытый текст, — здесь получается»| «Защита» целевой программы | Захват через прокси | Захват на сетевой карте | Захват на уровне приложения |
|---|---|---|---|
| Закрепление сертификата | ❌ Не подключается / выдаёт ошибку | 🔒 Только шифртекст | ✅ Открытый текст |
| Игнорирует системный прокси | ❌ Не удаётся захватить | 🔒 Только шифртекст | ✅ Открытый текст |
| Собственное / нестандартное шифрование | ❌ Не удаётся расшифровать | 🔒 Только шифртекст | ✅ Открытый текст |
Принцип прост: инструмент читает открытый текст прямо изнутри программы, без человека посередине и без вмешательства в сертификаты, поэтому все защиты, рассчитанные на «человека посередине» и «сертификат», попросту не срабатывают.

2. Насколько широк охват
Заголовок раздела «2. Насколько широк охват»Инструмент не привередлив к криптобиблиотекам или технологическому стеку. Чтение открытого текста изнутри программы охватывает гораздо больше программ, чем это доступно прокси или сетевой карте:
- Использует ли программа распространённую или редкую криптобиблиотеку — открытый текст читается изнутри в обоих случаях.
- Будь то нативная программа или приложение, написанное на различных кроссплатформенных фреймворках (настольные клиенты, кроссплатформенные приложения…), обрабатывается всё одинаково.
- Даже программы, общающиеся через встроенную криптографию операционной системы, охвачены, включая .NET / PowerShell и другие программы, использующие системный сетевой стек Windows. Это часто самые сложные слепые пятна для других инструментов, но и здесь открытый текст всё равно читается изнутри.
- Короче: браузеры, настольные клиенты, нативные программы… многие цели, которые в других местах дают «только шифртекст», здесь дают открытый текст.
3. Справляется и с самыми сложными случаями
Заголовок раздела «3. Справляется и с самыми сложными случаями»Для самых трудных программ есть ещё две меры:
- «Трафик сокета» — запасной вариант более низкого уровня: для программ, которые урезаны, лишены символов или написаны на более новом технологическом стеке (например, чистый Go, Rust, или использующих системный сетевой стек Windows), когда обычный подход не может найти точку входа их шифрования/расшифровки, включите этот переключатель, и инструмент пойдёт путём более низкого уровня, чтобы получить данные и всё равно добыть открытый текст, не завися от возможности найти точку входа шифрования/расшифровки программы и не завися от сетевой карты. Многие программы, на которых другие инструменты полностью застревают, так удаётся обработать.
- Захват «момента запуска»: значительная часть аутентификации и рукопожатий происходит в тот самый момент, когда программа впервые стартует. Закройте её сначала и дайте инструменту запустить её самому, и этот ранний, стартовый трафик тоже будет захвачен, так что вы не упустите тот критически важный первый запрос.

4. После захвата: понять и декодировать
Заголовок раздела «4. После захвата: понять и декодировать»Открытый текст, прочитанный изнутри, проходит ту же обработку, что и при любом другом способе захвата:
- Несколько способов просмотра: структурированный, форматированный текст, hex и автоопределение, переключаются независимо для каждого направления. Подробнее см. Просмотр и декодирование.
- Автоматическая распаковка и определение: автоматически распаковывает gzip / brotli / deflate / zstd (в том числе несколько слоёв подряд), автоматически распознаёт и форматирует JSON, XML, формы, protobuf / gRPC и многое другое.
- Пользовательские декодировщики: для собственных / внутренних сокет-протоколов напишите короткий скрипт, чтобы научить инструмент их читать. Подробнее см. Декодирование пользовательских протоколов.
5. Область применения и границы
Заголовок раздела «5. Область применения и границы»- Лучше всего подходит для: программ с закреплением сертификата, игнорирующих прокси, или использующих собственное / нестандартное шифрование, — когда ни прокси, ни сетевая карта не могут получить открытый текст.
- Работает напрямую с запущенной программой: выберите запущенную программу и читайте её открытый текст изнутри, тут же, без необходимости перезапускать её или менять какие-либо её настройки (можно также ввести путь к программе и дать инструменту запустить её самому).
- Нацелен только на выбранную программу: по умолчанию не распространяется автоматически на все дочерние процессы программы; многопроцессные / многооконные программы может понадобиться выбирать отдельно.
- Когда переходить к захвату на уровне системы: встроенные системные приложения macOS, а также особенно упрямые, глубоко спрятанные приложения отвергают любое вмешательство извне, и этот режим не может в них проникнуть; для таких целей переключитесь на Захват на уровне системы (он не входит внутрь программы, а наблюдает с более низких уровней системы).
6. Выбор среди четырёх способов локального захвата
Заголовок раздела «6. Выбор среди четырёх способов локального захвата»| Ваша ситуация | Что использовать |
|---|---|
| Программа уже запущена / использует закрепление сертификата / игнорирует прокси / использует собственное шифрование | Захват на уровне приложения (эта страница) |
| Обычная программа, которую можно запустить командой (браузер / скрипт / CLI) | Захват по отдельному процессу (более необременительный) |
| Хочется видеть весь трафик машины или не-HTTP трафик | Захват на сетевой карте |
| Встроенные системные приложения macOS / упрямые приложения | Захват на уровне системы |
Смежные темы: Захват через прокси · Снятие закрепления сертификата · Просмотр и декодирование