制御下にある（Windows）システムのすべての暗号化（SSL / TLS）トラフィックをリッスンする方法は？

特定のホストからのすべてのTLSトラフィックをリッスンする機能を保証する方法はありません。おっしゃるように、マルウェアはシステムセキュリティストアを使用しない場合もあります。また、ハードコードされた証明書（または少なくとも公開鍵）を持っている可能性があります。その場合、サーバーの秘密鍵を盗む（またはクラックできない）場合を除き、中間者攻撃の試みに気づきます。公開鍵）。

ただし、いくつかのオプションがあります。あなたは本当に1つの特定のプログラムからのトラフィックをクラックすることにのみ興味があるので、これはいくぶんよりもっともらしくなります。

• バイナリをリバースエンジニアリングして、ハードコードされた証明書またはキーが含まれているかどうかを確認します。その場合は、このキーをMitMが使用するキーに置き換えてみてください。ただし、これによりバイナリのフィンガープリントが変更されるため、バイナリ自体の整合性を検証しようとする場合は、そのチェックを削除またはパッチする必要もあります。
• マルウェアが使用している暗号ライブラリを見つけ、すべてのトラフィックをプレーンテキストに記録する「バックドア」バージョンに置き換えます。 Windowsライブラリだけを使用している場合は、そのようなバックドアされたライブラリを取得または作成する必要がありますが、プロセスに強制的に使用させることができるはずです（ただし、これらのバイナリのフィンガープリントまたは署名をチェックしている場合は、これが勝ちますパッチを適用するまで機能しません）。 OpenSSLなどのサードパーティライブラリを使用している場合は、簡単に置き換えることができますが、信頼性のチェックに注意してください。静的にリンクされたコードを使用している場合、このアプローチはよりトリッキーですが、実行時にプロセスイメージに動的にパッチを適用してTLSコードのエントリポイントをバックドアされた関数に置き換えることでまだ可能かもしれません（ただし、これには大幅なリバースエンジニアリングが必要になります）。
• マルウェアをリバースエンジニアリングして、TLSの使用にパッチを適用し、代わりにトラフィックをプレーンテキストで送信するように指示してください。サーバーは明らかにこれを受け入れませんが、送信トラフィックを暗号化（および応答を復号化）し、プレーンテキストを双方向で記録する非表示のプロキシを使用できます。繰り返しになりますが、整合性チェックに注意してください。また、サーバーは、バイナリから取得する必要があるクライアント証明書を予期している場合があります。
• 静的分析から何をするかを伝えるのに十分なプログラムのリバースエンジニアリングを試みます。これは、サーバーが何を言うかはわかりませんが、理論的には、その部分にも興味がある場合にサーバーが信頼する独自のクライアントを記述できるはずです。ただし、ハーフコンピテントマルウェアの作成者は、バイナリのリバースエンジニアリングを非常に困難にするための保護と難読化を含めます（もちろん、これはリバースエンジニアリングを必要とする以前のすべてのアプローチにも当てはまります）。