Quiero decir, si estoy, por ejemplo, en Facebook, cada paquete que envío de mi NIC está cifrado. Pero debe haber una fase de ese paquete antes de que se cifre. El navegador (creo) debe crear ese paquete y cifrarlo después. Entonces, si estoy en la máquina creando esos paquetes, ¿puedo verlos antes del cifrado?
Y si es así, ¿hay malware capaz de hacer esto? Creo que con los privilegios de administrador / raíz es seguro que puede, pero ¿qué pasa sin ellos?