Bazı kötü amaçlı yazılımlar, Fiddler'in orijinal geliştiricisi Eric Lawrence'ın belirttiği gibi muhtemelen Fiddler'i taklit ediyordu :
Çeşitli kötü amaçlı yazılım parçaları, Fiddler'in kullanımda olup olmadığını kontrol eder ve eğer öyleyse, eylemlerini gizlemek için kötü amaçlı etkinliklerini yapmayı bırakırlar.
( kaynak )
Fiddler bir web hata ayıklama aracıdır. Herhangi bir kötü amaçlı davranışa sahip değildir ve Telerik'ten indirilen yükleyiciyi kişisel olarak yüklemediğiniz sürece asla yüklenmez. Burada açıklanan senaryo, kendisini Fiddler gibi görünerek tespit etmekten kaçınmaya çalışan bir kötü amaçlı yazılım parçasıdır.
( kaynak )
davranış
Kötü amaçlı yazılımların en açık belirtisi, trafik yakalamak için Fiddler'ı kullanmadığınız sürece Google Chrome'un HTTPS web sitelerini istendiği gibi yüklememesi. Fiddler, kullanılmadığında normal web taramanıza müdahale edecek şekilde tasarlanmamıştır.
Kötü amaçlı yazılımın kendini gizleyebilmesi için Fiddler proxy'sini ele geçirmesi ve HTTPS trafiğini Fiddler sertifikasının özel anahtarıyla istifa etmesi gerekir. Proxy ayarlarını değiştirmek önemsizdir ve Fiddler kurulumunuzun özel anahtarının bir kopyasını elde etmek mümkündür .
Kök Sertifika
Fiddler bilgisayarınıza HTTPS üzerinden gönderilen veri içeriğini izlemek için kendini ortadaki bir adam (MitM) olarak eklemesine izin veren bir kök sertifika yüklemişti:
Buna karşılık, https://www.google.com/ normalde aşağıdaki şekilde güvenilirdir:
Bilgisayarınız DO_NOT_TRUST_FiddlerRoot
, işletim sisteminizin sertifika güven deposuna yüklendiği için sertifikaya güveniyor.
HTTPS'ye Karşı Proxy
HTTPS'nin, işletim sisteminin proxy kuralları yerine kendi bağımsız proxy kurallarını kullanacak şekilde yapılandırılabilen Mozilla Firefox üzerinde düzgün davrandığını belirttiniz. Google Chrome, aksi takdirde kolay bir seçenek olmadan işletim sistemi proxy'sini kullanır.
Fiddler'ın işletim sistemi düzeyi proxy'sinden geçen Fiddler, siteye hizmet ederken şifrelenmemiş HTTPS verilerini yakalamak için artık MitM olabilir. Fiddler bazı web sayfalarını getirir, daha önce güvenilir olan sertifikayı kullanarak "www.google.com" olarak imzalar DO_NOT_TRUST_FiddlerRoot
.
Bu koşullar altında, kötü amaçlı yazılım, size hala yanlış siteyi göstermek için proxy'yi ve sertifikayı ele geçirebilir . Bunun ayrıntılı kimlik avı saldırılarına yol açtığını görebiliyorum.
Güvenlik endişeleri
Security Stack Exchange ile ilgili: SSL dağıtan yazılım satıcıları, kullanıcı masaüstlerinde hangi güvenlik risklerini oluşturur?
As Eric Lawrence kez yazdım ,
Fiddler'in HTTPS müdahale yetenekleri (haklı olarak) güvenlik bilincine sahip kullanıcılar arasında kaşlarını kaldırıyor.
Bu nedenle Fiddler, HTTPS trafiğini engellemenin güvenlik üzerindeki etkileri konusunda uyarıyor:
Kullanıcı hatası ya da kötü amaçlı yazılım yüklenmesi tarafından, Fiddler çeşitli sorunlarla ilişkilendirilmiştir:
Fiddler'in kendisi zararlı bir program olmasa da, yanlış kullanımı ve yanlış anlaşılmaları geçmişte kötü itibar ve Fiddler gibi davranan virüslere yol açtı .
uzaklaştırma
Bilgisayarınız bazı Kemancı saldırganı tarafından ihlal edilmişse Bilmiyorum, ama sen gösterilen bu kadar umarım aşağıdaki adımlar Fiddler kurtulabilirsiniz Bilgisayarınızı ve yeniden yükleme, silme ve uygun güvenli web davranışını geri zamanım yok olduğunu. (Yine de, özellikle güvenlik konusunda ciddiyseniz şifrelerinizi yeniden yüklemenizi ve değiştirmenizi tavsiye ederim. Spybot - Search & Destroy'un kötü amaçlı yazılım bulduğunu yazdınız.)
Önsöz: Fiddler'ın yapılandırmasını kaldır
Orijinal poster Fiddler ile olan sorununu çözmek için şu ek adımları keşfetti :
Sonuçta ne düzeltildi: Ayarlar -> Gelişmiş ayarları göster -> Ağ altında -> Proxy Ayarlarını Değiştir -> Gelişmiş -> Sıfırla
ve
Ayrıca Fiddler Ayarları'nda sertifikaları kaldırmadan ve silmeden önce HTTPS trafiğinin şifresini çözmesine izin veren seçenekleri devre dışı bıraktım.
Fiddler's Root Sertifikalarını Kaldır
- Basın Win+r
- Açık:
certmgr.msc
- Tüm klasörleri inceleyin ve
DO_NOT_TRUST_FiddlerRoot
sertifikayı kaldırın .
Fiddler'i Kaldır
- Denetim Masası »Programlar» Programlar ve Özellikler'e gidin.
- Fiddler'i kaldırın. Bir kaynak , Fiddler'ın "FiddlerRoot" veya "BrowserSafeguard" olarak adlandırılabileceğini söylüyor.
Proxy Ayarlarını Temizle
Normalde farklı bir proxy kullanmadığınız varsayılarak ...
- Denetim Masası »Internet Seçenekleri'ne gidin.
- Internet Özellikleri'nde "Bağlantılar" sekmesine gidin.
- "Yerel Alan Ağı (LAN) ayarları" altında, "LAN ayarları" nı tıklayın.
- Aşağıdaki gibi proxy ayarlarınızı temizleyin ve işaretlerini kaldırın:
Kötü Amaçlı Yazılımları Kaldır
Daha önce Süper Kullanıcı'da önerildiği gibi , değiştirilmiş HTTPS web sayfalarını görüntüleyen orijinal kötü amaçlı yazılımı bulmaya ve kaldırmaya çalışmalısınız.
Ayrıntılı tavsiye:
Kötü amaçlı casus yazılımları, kötü amaçlı yazılımları, reklam yazılımlarını, virüsleri, truva atlarını veya rootkit'leri bilgisayarımdan nasıl kaldırabilirim?