Google搜索仅在不被观察时被劫持。附加调试器将返回正常结果

我无法弄清楚这一点。我发现最近的搜索结果有些“不同”。

• 当我执行Google搜索时，我没有登录，但是如果单击“图像”或“视频”，则显示为已登录。
• 搜索页面的侧栏中没有维基百科信息。
• 如果我禁用Ghostery和uBlock，则许多结果都是广告。

我决定检查开发人员工具，并注意到页面中存在SyntaxError，我单击了它，实际上它导致了一个JavaScript函数取代了Google网址。

该问题似乎仅发生在Chrome中，这与Firefox并存：

我尝试附加Fiddler Web调试器以捕获流量，以便可以看到重定向到的位置。但是，一旦我附加了Web调试器，一切便消失了，并提供了实际的搜索页面...。 Fiddler捕获时的页面源完全不同。

下面是显示它的屏幕截图。它从被劫持的页面开始，我将光标绕过一些粗略的其他javascript源文件。然后，我告诉Fiddler捕获流量并刷新我的搜索结果。我所服务的页面完全不同。最后，我再次禁用流量捕获，并刷新页面以显示被劫持的页面，并使用语法错误带您进入该功能，该错误应该替换网址。

http://i.imgur.com/gbWkkLp.gifv

我运行了Malwarebytes，但没有结果。Spybot提出了一些建议，但删除它们并不能解决问题。我还使用Google提供的工具完全重置了Chrome。如果我使用其他Web配置文件，例如我要进行帐单结算的Web配置文件，则不会获得搜索结果。如果我启用提琴手，突然我会得到结果。

正如Fiddler的原始开发人员Eric Lawrence指出的那样，某些恶意软件可能冒充了Fiddler。

各种恶意软件都会检查Fiddler是否正在使用，如果正在使用，它们将停止进行恶意活动以试图隐藏其行为。

^{_（来源）}

Fiddler是一个Web调试工具。它没有任何恶意行为，除非您亲自使用从Telerik下载的安装程序进行安装，否则它永远不会被安装。这里描述的场景是一种恶意软件，它试图通过使自己看起来像Fiddler来避免检测。

^{_（来源）}

行为

恶意软件的最明显迹象是，除非您使用Fiddler捕获流量，否则Google Chrome不会按预期加载HTTPS网站。Fiddler并非在不使用时不会干扰正常的网络浏览。

为了隐藏恶意软件，它需要劫持Fiddler代理并使用Fiddler证书的私钥对HTTPS通信进行签名。更改代理设置很简单，并且可以获取Fiddler安装的私钥的副本。

根证书

您让Fiddler在计算机上安装了一个根证书，该证书允许它作为中间人（MitM）插入自身，以监视通过HTTPS发送的数据内容：

相比之下，通常会信任https://www.google.com/的方式：

您的计算机信任DO_NOT_TRUST_FiddlerRoot证书，因为它已安装到操作系统的证书信任存储中。

拦截HTTPS的代理

您指出HTTPS在Mozilla Firefox上可以正常运行，可以将其配置为使用其自己的独立代理规则，而不是操作系统的代理规则。Google Chrome浏览器使用操作系统代理，没有其他简单的选择。

通过Fiddler的操作系统级代理，Fiddler现在可以成为MitM来捕获未加密的HTTPS数据，同时仍为站点提供服务。Fiddler会获取一些网页，然后使用之前受信任的证书将其签名为“ www.google.com” DO_NOT_TRUST_FiddlerRoot。

在这种情况下，恶意软件可以接管代理服务器和证书，从而在为您提供错误信息的同时向您提供错误的网站。我可以看到这导致精心设计的网络钓鱼攻击。

安全问题

^{_{与安全堆栈交换相关：由软件供应商在用户桌面上部署SSL拦截代理带来的安全风险}}

正如埃里克·劳伦斯（Eric Lawrence）曾经写道，

Fiddler的HTTPS拦截功能（正确地）在注重安全的用户中引起了人们的注意。

这就是为什么Fiddler警告有关拦截HTTPS流量的安全性的原因：

由于用户错误或安装了恶意软件，Fiddler遇到了各种问题：

• 提琴手显示隧道到未知IP
• 找到了我系统上安装的一堆DO_NOT_TRUST_FiddlerRoot个人证书
• 我不知道如何，但是我的计算机上安装了Fiddler（我未批准任何安装）
• 雷鸟证书警报不断弹出
• PC的代理设置被覆盖

尽管Fiddler本身不是有害程序，但其滥用和误解导致过去的不良声誉和伪装成Fiddler的病毒。

清除

我不知道您的计算机是否受到某些Fiddler劫机者的危害，但您表示您没有时间擦除计算机并重新安装，因此希望以下步骤可以摆脱Fiddler并恢复适当的安全网络行为。（我仍然建议您事后重新安装和更改密码，尤其是在您非常重视安全性的情况下。您写道Spybot – Search＆Destroy发现了一些恶意软件。）

前言：取消配置提琴手

原始张贴者发现了这些其他步骤来解决他与Fiddler的问题：

最终修复的问题是：设置->显示高级设置->在网络下->更改代理设置->高级->重置

和

同样，在Fiddler设置中，我禁用了允许其在卸载和重新清除证书之前解密HTTPS通信的选项。

删除提琴手的根证书

1. 按Win+r
2. 打开： certmgr.msc
3. 浏览所有文件夹并删除DO_NOT_TRUST_FiddlerRoot证书。

卸载Fiddler

1. 转到控制面板»程序»程序和功能。
2. 卸载Fiddler。 一位消息人士称，提琴手可能被称为“ FiddlerRoot”或“ BrowserSafeguard”。

清除代理设置

假设您通常不使用其他代理...

1. 转到控制面板»Internet选项。
2. 在“ Internet属性”中，转到“连接”选项卡。
3. 在“局域网（LAN）设置”下，单击“局域网设置”。
4. 清除并取消选中您的代理设置，如下所示：

删除恶意软件

如先前在“超级用户”上建议的那样，您应尝试查找并删除显示修改后的HTTPS网页的原始恶意软件。

详细建议：
如何从PC上删除恶意间谍软件，恶意软件，广告软件，病毒，特洛伊木马或rootkit？