谷歌搜索只有在不被观察时才会被劫持。附加调试器返回正常结果

Question

我无法弄清楚这一点。我注意到我的搜索结果最近有点“不同”。

• 我在谷歌搜索时没有登录，但如果我点击“图片”或“视频”，我会显示为已登录。
• 搜索页面的侧边栏中没有维基百科信息。
• 如果我禁用 Ghostery 和 uBlock，很多结果都是广告。

我决定检查开发人员工具并注意到页面中有一个 SyntaxError，我点击了它，它实际上会导致一个 javascript 函数替换谷歌网址。

问题似乎只发生在 Chrome 中，这里是与 firefox 并排的：

我尝试附加 Fiddler Web Debugger 来捕获流量，以便我可以看到我被重定向到的位置。但是一旦我附加了一个网络调试器，它就会消失，我得到了实际的搜索页面......当 Fiddler 捕获时，页面源是完全不同的。

下面是显示它的屏幕截图 gifv。它从被劫持的页面开始，我将光标围在一些粗略的附加 javascript 源文件周围。然后我告诉 Fiddler 捕获流量并刷新我的搜索结果。我所服务的页面完全不同。最后，我再次禁用流量捕获并刷新页面以显示被劫持的页面，并将您带到应该替换网址的带有语法错误的功能。

http://i.imgur.com/gbWkkLp.gifv

我运行了 Malwarebytes 并没有得到任何结果。Spybot 提出了一些点击，但删除它们并没有解决问题。我还使用 Google 提供的工具完全重置了 chrome。如果我使用不同的 Web 配置文件，例如我用来结算帐单的 Web 配置文件，则不会获得任何搜索结果。如果我启用提琴手，我会突然得到结果。

Answer 1

正如Fiddler的原始开发者Eric Lawrence指出的那样，一些恶意软件可能正在冒充Fiddler：

各种恶意软件会检查 Fiddler 是否正在使用，如果是，它们会停止进行恶意活动以试图隐藏其操作。

^{_（来源）}

Fiddler 是一个网页调试工具。它没有任何恶意行为，除非您亲自使用从 Telerik 下载的安装程序进行安装，否则它永远不会安装。此处描述的场景是一种恶意软件，它试图通过使自己看起来像 Fiddler 来避免检测。

^{_（来源）}

行为

恶意软件最明显的迹象是，除非您使用 Fiddler 来捕获流量，否则 Google Chrome 不会按预期加载 HTTPS 网站。Fiddler 不会在不使用时干扰您的正常网页浏览。

为了让恶意软件隐藏自己，它需要劫持 Fiddler 代理并使用 Fiddler 证书的私钥重新签署 HTTPS 流量。更改代理设置是微不足道的，并且可以获得 Fiddler 安装的私钥的副本。

根证书

您让 Fiddler 在您的计算机上安装了一个根证书，这允许它作为中间人(MitM)将自己插入以监控通过 HTTPS 发送的数据内容：

相比之下，https : //www.google.com/通常受信任的方式如下：

您的计算机信任该DO_NOT_TRUST_FiddlerRoot证书，因为它已安装到您操作系统的证书信任库中。

代理拦截HTTPS

您指出 HTTPS 在 Mozilla Firefox 上运行正常，可以将其配置为使用自己独立的代理规则，而不是操作系统的代理规则。谷歌浏览器使用操作系统代理，没有其他简单的选择。

通过 Fiddler 的操作系统级代理，Fiddler 现在可以成为中间人，在仍为站点提供服务的同时捕获未加密的 HTTPS 数据。Fiddler 获取一些网页，然后使用之前信任的证书将其签名为“www.google.com” DO_NOT_TRUST_FiddlerRoot。

在这些情况下，恶意软件可以接管代理和证书以向您提供错误的站点，同时仍然向您显示 . 我可以看到这会导致精心设计的网络钓鱼攻击。

安全问题

^{_{与 Security Stack Exchange 相关：软件供应商在用户桌面上部署 SSL 拦截代理会带来哪些安全风险}}

正如埃里克·劳伦斯曾经写道，

Fiddler 的 HTTPS 拦截功能（正确地）引起了有安全意识的用户的注意。

这就是 Fiddler 警告拦截 HTTPS 流量的安全隐患的原因：

由于用户错误或恶意软件安装，Fiddler 已与各种问题相关联：

• Fiddler 显示了到未知 IP 的隧道
• 在我的系统上发现了一堆 DO_NOT_TRUST_FiddlerRoot 个人证书
• 我不知道怎么做，但我的电脑上安装了 Fiddler（我没有批准任何安装）
• 雷鸟证书警报不断弹出
• PC 的代理设置被覆盖

虽然 Fiddler 本身并不是一个有害程序，但它的滥用和误解导致了过去的坏名声和冒充 Fiddler 的病毒。

移动

我不知道您的计算机是否已被某些 Fiddler 劫持者入侵，但您表示您没有时间擦除计算机并重新安装，因此希望以下步骤可以摆脱 Fiddler 并恢复适当的安全网络行为。（我仍然建议您在之后重新安装和更改密码，特别是如果您非常重视安全性。您写的 Spybot – Search & Destroy 发现了一些恶意软件。）

前言：解除配置 Fiddler

最初的发帖人发现了这些额外的步骤来解决他与 Fiddler 的问题：

最终修复的是：设置 -> 显示高级设置 -> 在网络下 -> 更改代理设置 -> 高级 -> 重置

和

同样在 Fiddler 设置中，我禁用了允许它在卸载和重新清除证书之前解密 HTTPS 流量的选项。

删除 Fiddler 的根证书

1. 按Win+r
2. 打开： certmgr.msc
3. 查看所有文件夹并删除DO_NOT_TRUST_FiddlerRoot证书。

卸载 Fiddler

1. 转到控制面板 » 程序 » 程序和功能。
2. 卸载提琴手。 一位消息人士称，Fiddler 可能被称为“FiddlerRoot”或“BrowserSafeguard”。

清除代理设置

假设您通常不使用不同的代理……

1. 转到控制面板 » Internet 选项。
2. 在 Internet 属性中，转到“连接”选项卡。
3. 在“局域网 (LAN) 设置”下，单击“LAN 设置”。
4. 清除并取消选中您的代理设置，如下所示：

删除恶意软件

正如之前在 Super User 上所建议的，您应该尝试查找并删除显示修改过的 HTTPS 网页的原始恶意软件。

详细建议：
如何从我的 PC 中删除恶意间谍软件、恶意软件、广告软件、病毒、特洛伊木马或 rootkit？