GitHub万星项目进度70%，eCapture旁观者7K Stars达成

是的，一年半时间，笔者的首个7000星的GitHub开源项目来了，它就是eCapture旁观者。未来一年，争取过万星。

eCapture一个无需CA证书，无侵入的HTTPS/TLS明文抓包工具。可以在Linux 4.18以上版本使用，同时也支持Android arm64 5.5以上版本。

eCapture的中文名叫「旁观者」，即「当局者迷，旁观者清」，与其本身功能「旁路、观察」契合，且发音与英文有相似之处。此工具切入大家痛点，不需要CA证书，也不需要进程冲洗，就可以在Linux上分析生产环境的https网络包的问题，深受大家欢迎。

从2022年3月底创建，至今一年半时间，获得7000星。与知乎上较为出名的xmake-io/xmake开源项目相比，可谓神速。当然，个人的努力固然有，但主要是借助了历史的进程——eBPF技术兴起。

eBPF技术是Linux内核的子系统，用来做跟踪、抽样、网络优化、安全管控等。借助于eBPF的动态插桩能力，eCapture可以无需应用进程重启，无需CA证书，动态增加观测点，实现对进程的HTTPS/TLS加密通讯抽样诊断。

eCapture项目是用来做网络分析的，适合线上环境，不方便重启进程的场景。使用eBPF TC/uprobe HOOK技术，支持Linux/Android 系统，支持x86_64/aarch64两种CPU架构，工具大小不到10M。

支持保存为文本日志，以及pcap-NG格式文件，直接用wireshark打开分析。同时，还可以支持关联网络所属的进程名、进程PID等信息，在入侵对抗领域，特别需要后门网络包是哪个进程发出的，从而更好的定位后门进程。

从2022年3月起，至今发布了34个版本，160多个PR；整理了5篇文章，录制了3个视频。花费了100多瓶可乐，掉了几万根头发……

时间与精力

大部份功能上，项目的规划、研发、测试、交付、运营对接，都是我一个人。时间上，几乎都是下班后的21点到凌晨1点，以及周末的大部分时间。也就是说，2022年的大部分休息时间都贡献给了eCapture这个开源项目。一个人做开源，特别花时间、花体力，花精力，完全是用爱发电。

可以对比eCapture跟xmake两个项目的代码编写事件。

可能是因为eBPF技术比较偏内核底层，社区熟悉这部分技术的人不多，可以为项目贡献的人寥寥无几，整体参与度不高。在这里也非常感谢为eCapture做贡献的人。

展现在大家眼前的是一个软件，一个项目，帮你解决了一些问题。所需要代码行数并不多等，实际上，笔者需要花费大量时间、精力，研究学习背后的技术知识。

冰山的背后

比如Pcapng格式的支持，需要了解PcapNG File Format，了解里面Block的含义，如何解析、填充；了解Packet flow in Netfilter and General Networking，才能更好的选择HOOK点。深挖Decryption Secrets Block标准，并提交了google/gopacket PR # 1042，支持DSB格式，使得Wireshark可以直接分析eCapture捕获https加密包的明文内容。

比如Golang uretprobe，需要了解Golang在不同版本下的ABI规范，是基于寄存器，还是栈。符号表内，函数调用的参数传递顺序差异。函数调用栈与参数、返回值的内存布局等。只有了解这些，才能更好的实现函数入参、返回值的捕获，才能实现Golang的TLS类库密钥捕获，实现Golang TLS类库的加密通讯明文捕获。

比如Android系统的支持，需要了解AMD64、ARM64的兼容实现，了解Linux内核在Android上的调整点。探索在Linux上编译Android可运行的eBPF程序路线。翻阅对比Openssl类库封装成BoringSSL的差异，熟悉ELF文件装载、加载过程，定位合适的挂钩函数，确定内存偏移量，才能动态适配多种OpenSSL、BoringSSL类库，支持这些类库的TLS/SSL密钥捕获以及明文捕获。

除了技术实现，在推广运营上，笔者画了很多架构图、原理图，甚至自学视频制作，录制使用方法，学习视频剪辑、录音等等。虽然学习是痛苦的，但笔者的艺术细胞倒是提升不少。