April 14, 2013

解密Network Monitor擷取的TLS/SSL封包

在「使用Network Monitor擷取TLS/SSL封包」中介紹了Network Monitor擷取SSL網站封包的方式。因為資料在傳輸過程中被加密的關係,我們無法看到資料的原始內容。例如我登入了GMail,我的使用者帳號和密碼在傳輸至GMail的過程中是加密過的,必須有GMail的SSL憑證私密金鑰才能解密這些資料。如果我有私密金鑰的話該怎麼來解密呢?

在實際進行資料解密之前,我們需先至 Network Monitor Open Source Parsers網站下載並安裝Network Monitor所使用最新的parser,以防解密的過程中出現錯誤而解密失敗。

接下來我們在已擷取完SSL封包的視窗中至選單Experts-> NmDecrypt-> Run Expert


Network Monitor會要我們先儲存目前已擷取到的資料以利之後的解密


儲存後會開啟另一個視窗


Encrypted Capture File是指我們剛剛所儲存已擷取的封包資料
Server Certificate Path是指SSL憑證的私密金鑰路徑,指定路徑後需要再輸入金鑰的密碼
Decrypted File Path是指解密後資料存放的路徑
Debug Log File Path是指解密過程中的log檔儲存路徑


輸入完畢後按下Start開始解密,解密完後可至存放解密資料的路徑以Network Monitor開啟資料。在Frame Summary視窗中可以使用Find功能來搜尋我們要的資料,接下來便可看到資料已經成功被解密


參考

No comments: