三星S23U 使用keylog模式 报错master secret length is too long

[wabailu]

描述：在三星S23U上使用keylog模式尝试抓包时出现master secret长度报错，ecapture_openssl_key.log为空。

相似issue ：#569 (comment)

设备：三星S23U
内核：Linux localhost 5.15.189-android13-8-style-g2a562ccb #1 SMP PREEMPT Mon Aug 25 09:00:01 CST 2025 aarch64 Toybox

操作步骤：
1、adb shell --> su
2、./ecapture tls -m keylog

现象：
持续报错：ERR master secret length is too long, truncate to 64 bytes, but it may cause keylog file error length=xxxx

完整运行日志：
dm3q:/data/local/tmp # ./ecapture tls -m keylog
2026-01-05T09:11:56Z INF AppName="eCapture(旁观者)"
2026-01-05T09:11:56Z INF HomePage=https://ecapture.cc
2026-01-05T09:11:56Z INF Repository=https://github.com/gojue/ecapture
2026-01-05T09:11:56Z INF Author="CFC4N cfc4ncs@gmail.com"
2026-01-05T09:11:56Z INF Description="Capturing SSL/TLS plaintext without a CA certificate using eBPF. Supported on Linux/Android kernels for amd64/arm64."
2026-01-05T09:11:56Z INF Version=androidgki_arm64:v1.5.2:6.8.0-1044-azure
2026-01-05T09:11:56Z INF Listen=localhost:28256
2026-01-05T09:11:56Z INF Listen for eCaptureQ=
2026-01-05T09:11:56Z INF eCapture running logs logger=
2026-01-05T09:11:56Z INF the file handler that receives the captured event eventCollector=
2026-01-05T09:11:56Z INF listen=localhost:28256
2026-01-05T09:11:56Z INF https server starting...You can upgrade the configuration file via the HTTP interface.
2026-01-05T09:11:56Z INF Kernel Info=5.15.189 Pid=4644
2026-01-05T09:11:56Z INF TruncateSize=0 Unit=bytes
2026-01-05T09:11:56Z WRN Your environment is like a container. We won't be able to detect the BTF configuration.
If eCapture fails to run, try specifying the BTF mode. use -b 2 to specify non-CORE mode.
2026-01-05T09:11:56Z INF BTF bytecode mode: CORE. btfMode=0
2026-01-05T09:11:56Z INF master key keylogger has been set. eBPFProgramType=KeyLog keylogger=ecapture_openssl_key.log
2026-01-05T09:11:56Z INF module initialization. isReload=false moduleName=EBPFProbeOPENSSL
2026-01-05T09:11:56Z INF Module.Run()
2026-01-05T09:11:56Z WRN bpfFile=boringssl_a_15_kern.o sslVersion=android_default
2026-01-05T09:11:56Z INF HOOK type:Openssl elf ElfType=2 binrayPath=/apex/com.android.conscrypt/lib64/libssl.so masterHookFuncs=["SSL_in_init"]
2026-01-05T09:11:56Z INF target all process.
2026-01-05T09:11:56Z INF target all users.
2026-01-05T09:11:56Z INF setupManagers eBPFProgramType=KeyLog
2026-01-05T09:11:56Z INF BPF bytecode file is matched. bpfFileName=user/bytecode/boringssl_a_15_kern_core.o
2026-01-05T09:11:57Z INF perfEventReader created mapSize(MB)=4
2026-01-05T09:11:57Z INF module started successfully. isReload=false moduleName=EBPFProbeOPENSSL
2026-01-05T09:12:02Z ERR master secret length is too long, truncate to 64 bytes, but it may cause keylog file error length=2435363977
2026-01-05T09:12:02Z ERR master secret length is too long, truncate to 64 bytes, but it may cause keylog file error length=2435363977
2026-01-05T09:12:02Z ERR master secret length is too long, truncate to 64 bytes, but it may cause keylog file error length=2435363977
2026-01-05T09:12:02Z ERR master secret length is too long, truncate to 64 bytes, but it may cause keylog file error length=2435363977
2026-01-05T09:12:02Z ERR master secret length is too long, truncate to 64 bytes, but it may cause keylog file error length=2435363977
2026-01-05T09:12:02Z ERR master secret length is too long, truncate to 64 bytes, but it may cause keylog file error length=2435363977

[dosubot]

你遇到的 “master secret length is too long” 报错，根本原因是 ecapture 在三星 S23U（Android 13）上读取 BoringSSL/Conscrypt 内部结构体时，使用了不匹配的内存偏移（offset），导致从错误的内存位置读取到了异常巨大的密钥长度（如 24 亿字节），最终 keylog 文件为空，无法用于 Wireshark 解密。这是因为三星定制的 libssl.so 结构和 ecapture 现有的 offset（如 boringssl_a_15）不兼容，类似问题在 Pixel 6a、Pixel 6 Pro 等 Android 13 设备上也有多次反馈，属于通用的兼容性难题相关讨论。

为什么 keylog 文件为空？
ecapture 的 keylog 处理逻辑会校验密钥长度，发现长度异常会直接丢弃，避免写入无效内容，所以 keylog 文件始终为空，导致无法解密 HTTPS 流量代码实现。

现有 workaround 和局限：

• 尝试 --ssl_version 明确指定版本、-b 2 强制 non-CORE 模式，或切换 text/pcap 模式，有时能缓解部分兼容性问题，但只要 offset 不对，根本无法抓到有效密钥相关案例。
• text 模式有时能看到明文，但也可能 crash 或内容不全，pcap 模式同样受影响。
• 近期的 ecapture 代码有大幅重构（如 feat: Phase 4 TLS probe refactoring - Complete all libraries (OpenSSL, GnuTLS, NSPR, GoTLS) with multi-mode support and factory registration (PR #1-6) #912、Refactor OpenSSL probe to follow standardized architecture pattern #917），提升了 keylog 处理和去重能力，但没有直接修复三星 S23U/Android 13 的 offset 问题PR #917。

根本解决办法：
需要为三星 S23U 当前系统的 libssl.so 重新生成专用 offset，并编译新的 eBPF 字节码（如 boringssl_a_15_kern.c/h），让 ecapture 能正确读取 master secret。如果你有能力提取设备上的 libssl.so，可以配合 ecapture 的 offset 生成工具和维护者协作，适配新版本后才能彻底解决技术细节。

总结：
这是 Android 13/Samsung S23U BoringSSL 结构变动导致的通用兼容性问题，现有 workaround 只能缓解，无法根治。关注后续是否有专用 offset 支持，或参与 offset 适配，是彻底解决的唯一途径。

To reply, just mention @dosu.

---

^{How did I do? Good | Irrelevant | Incorrect | Verbose | Hallucination | Report 🐛 | Other}

   

[wabailu]

可以提取设备上的 libssl.so，需要怎么提供出来？ 另外实际设备的安卓版本是安卓15。

[dosubot]

你可以这样提取和提供 libssl.so：

1. 确认路径：三星 S23U 上 64 位 libssl.so 一般在 /apex/com.android.conscrypt/lib64/libssl.so。可以用 ls 或 find 命令确认：

   ls -l /apex/com.android.conscrypt/lib64/libssl.so
   

2. 用 adb pull 导出到电脑（假设手机已 root 并连接好 adb）：

   adb shell
   su
   cp /apex/com.android.conscrypt/lib64/libssl.so /data/local/tmp/
   exit
   exit
   adb pull /data/local/tmp/libssl.so
   

3. 建议压缩后再上传，防止传输损坏：

   zip libssl.zip libssl.so
   

4. 可选：生成校验值，方便校验完整性：

   sha256sum libssl.zip
   

5. 提供方式：一般直接在 GitHub issue 里上传压缩包（如 libssl.zip），或者用网盘（如阿里云盘、Google Drive）分享下载链接，并在 issue 里备注你的设备型号、Android 版本、内核版本、ecapture 版本和遇到的问题描述，方便维护者分析参考。

6. 注意：libssl.so 属于系统库，涉及隐私或合规要求时请谨慎公开，必要时可用私信或邮件方式与维护者沟通。

这样维护者就能用你的 so 文件进行 offset 适配和兼容性分析了。

To reply, just mention @dosu.

---

^{How did I do? Good | Irrelevant | Incorrect | Verbose | Hallucination | Report 🐛 | Other}

   

[wabailu]

Android15_kernel-5.15.189_ecapture-1.5.2-issues920.zip

[dosubot]

已收到你上传的 zip 文件，感谢配合！维护者会用你提供的 libssl.so 进行 offset 适配分析，这一步通常需要解析 so 结构、生成专用偏移并编译新的 eBPF 字节码，确保 ecapture 能兼容你当前的 Android 15/S23U 环境。

目前 ecapture 对 Android 15/BoringSSL 的支持已在近期版本持续完善，但部分设备（如三星 S23U）仍可能因 so 结构差异导致 keylog 抓取异常，需要专用 offset 支持。维护者分析和适配后，可能会发布测试版或在 issue 里同步进展，适配周期视复杂度和排期而定，建议关注后续动态或补充调试日志以便加速处理相关说明。

在此期间，可以尝试最新版 ecapture，并用 --ssl_version='boringssl_a_15' 及不同 BTF 模式（如 -b 2）运行，有时能临时缓解兼容性问题，但彻底修复仍需等待 offset 适配完成经验参考。

如有新进展或需要你协助测试，维护者会在本 issue 跟进。

To reply, just mention @dosu.

---

^{How did I do? Good | Irrelevant | Incorrect | Verbose | Hallucination | Report 🐛 | Other}

   

[cfc4n]

我手头没有样机可以测试，即使你提供了动态链接库，估计我很难重现啊。