Một số phần mềm độc hại có thể đã mạo danh Fiddler , như nhà phát triển ban đầu của Fiddler, Eric Lawrence , đã chỉ ra:
Nhiều phần mềm độc hại khác nhau kiểm tra xem Fiddler có đang được sử dụng hay không và nếu vậy, họ sẽ ngừng thực hiện các hoạt động độc hại của mình để cố gắng che giấu hành động của mình.
( nguồn )
Fiddler là một công cụ gỡ lỗi web. Nó không có hành vi độc hại nào, và nó không bao giờ được cài đặt trừ khi bạn đích thân cài đặt nó bằng trình cài đặt được tải xuống từ Telerik. Kịch bản được mô tả ở đây là một phần mềm độc hại đang cố gắng tránh bị phát hiện bằng cách làm cho nó trông giống như Fiddler.
( nguồn )
Hành vi
Dấu hiệu rõ ràng nhất của phần mềm độc hại là Google Chrome không tải các trang web HTTPS như dự định trừ khi bạn đang sử dụng Fiddler để nắm bắt lưu lượng truy cập. Fiddler không được thiết kế để can thiệp vào trình duyệt web thông thường của bạn khi nó không được sử dụng.
Để phần mềm độc hại tự ẩn, nó cần chiếm quyền điều khiển proxy Fiddler và từ bỏ lưu lượng HTTPS bằng khóa riêng của chứng chỉ Fiddler. Việc thay đổi cài đặt proxy là chuyện nhỏ và có thể lấy bản sao khóa riêng của cài đặt Fiddler của bạn .
Chứng chỉ gốc
Bạn đã yêu cầu Fiddler cài đặt chứng chỉ gốc trên máy tính của mình, cho phép nó tự chèn vào dưới dạng một người trung gian (MitM) để theo dõi nội dung dữ liệu được gửi qua HTTPS:
Ngược lại, đây là cách https://www.google.com/ thường được tin cậy:
Máy tính của bạn tin tưởng DO_NOT_TRUST_FiddlerRoot
chứng chỉ vì nó đã được cài đặt vào kho ủy thác chứng chỉ của hệ điều hành của bạn.
Proxy để chặn HTTPS
Bạn đã chỉ ra rằng HTTPS hoạt động đúng trên Mozilla Firefox, có thể được cấu hình để sử dụng các quy tắc proxy độc lập của riêng nó thay vì quy tắc proxy của hệ điều hành. Google Chrome sử dụng proxy hệ điều hành mà không có tùy chọn dễ dàng để làm khác.
Đi qua proxy cấp hệ điều hành của Fiddler, giờ đây Fiddler có thể là MitM để thu thập dữ liệu HTTPS không được mã hóa trong khi vẫn phục vụ trang web. Fiddler tìm nạp một số trang web, sau đó ký tên là "www.google.com" bằng chứng chỉ được tin cậy trước đó , DO_NOT_TRUST_FiddlerRoot
.
Trong các trường hợp này, phần mềm độc hại có thể chiếm cả proxy và chứng chỉ để cung cấp cho bạn trang web sai trong khi vẫn hiển thị cho bạn . Tôi có thể thấy điều này dẫn đến các cuộc tấn công lừa đảo công phu.
Quan ngại về an ninh
Liên quan đến trao đổi ngăn xếp bảo mật: Những rủi ro bảo mật nào được đặt ra bởi các nhà cung cấp phần mềm triển khai proxy chặn chặn SSL trên máy tính để bàn của người dùng
Như Eric Lawrence đã từng viết ,
Khả năng đánh chặn HTTPS của Fiddler (đúng) làm tăng sự chú ý giữa những người dùng có ý thức bảo mật.
Đó là lý do tại sao Fiddler cảnh báo về ý nghĩa bảo mật của việc chặn lưu lượng HTTPS:
Do lỗi người dùng hoặc cài đặt phần mềm độc hại, Fiddler đã liên quan đến nhiều vấn đề khác nhau:
Mặc dù bản thân Fiddler không phải là một chương trình có hại, nhưng sự lạm dụng và hiểu lầm của nó đã dẫn đến tiếng xấu và virus giả vờ là Fiddler .
Gỡ bỏ
Tôi không biết liệu máy tính của bạn có bị xâm nhập bởi một tên không tặc Fiddler hay không, nhưng bạn cho biết rằng bạn không có thời gian để lau máy tính và cài đặt lại, vì vậy, hy vọng các bước sau đây có thể thoát khỏi Fiddler và khôi phục hành vi web an toàn thích hợp. (Tôi vẫn sẽ khuyên bạn nên cài đặt lại và thay đổi mật khẩu của mình sau đó, đặc biệt nếu bạn nghiêm túc về bảo mật. Bạn đã viết rằng Spybot - Tìm kiếm & Tiêu diệt tìm thấy một số phần mềm độc hại.)
Lời nói đầu: Hủy cấu hình Fiddler
Người đăng ban đầu đã phát hiện ra các bước bổ sung này để giải quyết vấn đề của mình với Fiddler:
Cuối cùng, cái đã được sửa là: Cài đặt -> Hiển thị cài đặt nâng cao -> Trong mạng -> Thay đổi Cài đặt proxy -> Nâng cao -> Đặt lại
và
Ngoài ra trong Cài đặt Fiddler, tôi đã tắt các tùy chọn cho phép nó giải mã lưu lượng HTTPS trước khi gỡ cài đặt và xóa lại chứng chỉ.
Xóa (các) chứng chỉ gốc của Fiddler
- nhấn Win +r
- Mở:
certmgr.msc
- Xem qua tất cả các thư mục và loại bỏ
DO_NOT_TRUST_FiddlerRoot
chứng chỉ.
Gỡ cài đặt Fiddler
- Chuyển đến Bảng điều khiển »Chương trình» Chương trình và Tính năng.
- Gỡ cài đặt Fiddler. Một nguồn tin nói rằng Fiddler có thể được gọi là "FiddlerRoot" hoặc "BrowserSafeguard".
Xóa cài đặt proxy
Giả sử bình thường bạn không sử dụng proxy proxy khác
- Chuyển đến Bảng điều khiển »Tùy chọn Internet.
- Trong Thuộc tính Internet, chuyển đến tab "Kết nối".
- Trong "Cài đặt mạng cục bộ (LAN)", nhấp vào "Cài đặt mạng LAN".
- Xóa và bỏ chọn cài đặt proxy của bạn như vậy:
Loại bỏ phần mềm độc hại
Như đã đề xuất trước đây trên Super User , bạn nên cố gắng tìm và xóa phần mềm độc hại ban đầu hiển thị các trang web HTTPS đã sửa đổi.
Lời khuyên chi tiết:
Làm cách nào tôi có thể loại bỏ phần mềm gián điệp độc hại, phần mềm độc hại, phần mềm quảng cáo, vi rút, trojan hoặc rootkit khỏi PC của tôi?