文章总结： 文档介绍TUN劫持工具的进程监控与持续劫持功能。通过Glob模式自动关联网络连接与进程PID，该工具解决了多进程应用中连接瞬时性及PID漂移的追踪难题，实现了特定进程流量的自动化拦截，大幅提升了渗透测试中的流量审计效率。 综合评分： 88 文章分类： 安全工具,产品介绍,渗透测试

TUN劫持：给流量戴上“进程追踪器”

原创

YAK YAK

Yak Project

2026年1月16日 17:42 北京

在上一篇文章中，我们讨论了如何利用 TUN 设备构建一个基础的流量拦截环境（点击即可查看）。然而，在实际的渗透测试或安全开发场景中，我们经常会遇到一个痛点：流量是“盲目”的。

当我们开启 TUN 劫持后，看到的是源源不断的 IP 包和 TCP/UDP 流。但在复杂的现代操作系统中，后台可能有数十个进程在同时联网。如果你只想分析 Chrome 的某个插件流量，或者想审计某个特定恶意软件的连接行为，从海量的 IP 数据中手动筛选目标无疑是大海捞针。

本次更新，我们的 TUN 劫持引入了进程监控（Process Monitoring）功能。它打破了网络层与应用层之间的壁垒，让你可以实时看到“哪个进程正在连接哪个 IP”，并实现自动化的流量劫持。

传统的抓包工具往往只关注包内容，而我们的工具在网络层拦截的同时，通过系统底层的调用，实时关联了网络连接与进程 PID。

在工具的“进程列表”选项卡中，你可以看到当前系统中所有活跃的进程。

点击“查看信息”，你可以深入到进程内部。工具会展示该进程当前持有的所有 连接，包括源地址、目的地址、目标域名（如有）。这对于识别 CDN 流量或隐藏的 API 调用非常有帮助。

在发现感兴趣的连接后，如何快速将其导入劫持流程？

在“信息详情”窗口中，每个连接条目后都有一个“添加路由”按钮。一旦点击，该目的 IP 会立刻被推送到我们的 TUN路由表中。此时，该 IP 的所有流量都将通过我们的 TUN 设备进行强行劫持。

在之前的 tun 劫持模块中，用户需要手动发现一个 IP，然后手动将其添加到路由表中。但在面对现代复杂应用时，这种操作模式已经不够使用了。

本次更新关键在于实现了针对进程的持续劫持。无论你是指定一个具体的 PID，还是通过 Glob 模式 匹配一组进程，工具都会进入一个自动化的闭环逻辑，持续添加目标进程的连接到劫持目标中。

1、为什么“持续性”是刚需？

以 Chrome 为例，它是一个典型的多进程、高频连接应用。

• 连接瞬时性： 很多 API 请求或短连接在几秒钟内就结束了。当你手动查到它的 IP 并准备添加路由时，连接可能已经关闭。
• 域名多变： 现代 Web 应用背后是成百上千个 CDN 节点和微服务。
• PID 漂移： 渲染进程（Renderer）经常会因为页面刷新或标签页关闭而销毁并重启，产生全新的 PID。

如果靠人工去“盯”，效率极低。我们的“持续劫持”功能将这个过程变成了自动进行。

2、Glob 模式：大规模自动化拦截的入口

不同于传统的精确匹配，Glob 模式允许你利用通配符（如 *Chrome*、Electron）一次性覆盖整个应用族群。

• 一键锁定： 输入 *Chrome*，工具会自动关联当前所有的 Chrome 进程。
• 新进程自动收纳： 最重要的是，如果在劫持过程中 Chrome 启动了新的子进程（例如你新开了一个标签页），Glob 监控逻辑会实时感知到这个新进程的加入，并自动将其纳入劫持范围。

当你在工具中点击“劫持”后，后台会启动如下自动化流水线：

1、动态扫描与 Glob 模糊匹配

工具后台维持着一个扫描任务，它会定期轮询系统进程树。通过引入 Glob 模式匹配，你不再需要死盯着某个 PID，只需输入期望的匹配字符串，就会自动将所有匹配到的进程拉入“劫持预备役”。

2、一进程一协程

• 每当扫描器发现符合条件的新进程，都会为其启动一个协程持续监控此进程
• 该协程会监控目标进程的 网络连接状态。一旦该进程有新的的网络连接，协程会立刻捕获其目标 IP。
• 捕获到 IP 后，无需人工干预，会自动将其写入路由表并指向 TUN 设备。

通过这种设计，你只需要在界面上点一次“劫持”，剩下的工作——发现新进程、启动监控协程、提取新连接IP、下发路由表——全部自动完成。

1、启动环境： 打开工具，开启 TUN 设备。

2、设置规则： 在进程列表搜索框输入 *Chrome*，点击“劫持”。

3、触发流量： 在 Chrome 中访问任意网站。

4、实时审计： 点击“已劫持任务”中的“查看信息”，你会发现工具已经自动捕获了 Chrome 正在访问的后端服务器 IP。

本次“进程监控”的更新，标志着我们的 TUN 劫持工具从一个“底层网络工具”进化为了一个“应用级分析利器”。通过 Glob 模式匹配 和 实时路由添加，我们极大缩短了从发现目标到实施劫持的操作链路。

END

YAK官方资源

Yak 语言官方教程： https://yaklang.com/docs/intro/ Yakit 视频教程： https://space.bilibili.com/437503777 Github下载地址： https://github.com/yaklang/yakit Yakit官网下载地址： https://yaklang.com/ Yakit安装文档： https://yaklang.com/products/download_and_install Yakit使用文档： https://yaklang.com/products/intro/ 常见问题速查： https://yaklang.com/products/FAQ

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Yak Project YAK YAK《TUN劫持：给流量戴上“进程追踪器”》