In che modo Malwarebytes intercetta il traffico web?

2

Uso Malwarebytes e la funzionalità del filtro web mi imbarazza. Per quanto riguarda la mia ricerca, i motori antivirus usano tipicamente un proxy per intercettare le richieste web che tipicamente ci sarebbero prove nel certificato usato per crittografare la connessione (cioè il certificato emittente), tuttavia Malwarebytes è in grado di intercettare le richieste web e non lo fa t mostra un certificato personalizzato.

Questo mi ha confuso perché la mia ricerca finora ha mostrato:

  1. Devi utilizzare la tua CA e i tuoi certificati per decodificare il traffico web
  2. Devi aggiungerlo al tuo sistema e ai negozi di fiducia del browser per i certificati

Malwarebytes tuttavia non sembra fare nulla di quanto sopra ed è ancora in grado di intercettare sia il traffico SSL che quello non SSL. Intercetta il traffico da ogni programma.

Mi chiedo principalmente come lo fanno? Presumibilmente usano Windows Filtering Platform per fare ciò, ma in che modo lo usano? Immagino che ci debba essere una sorta di cambio di configurazione, o qualcosa del genere per fare questo?

Non ero sicuro se chiedere o meno questo su StackOverflow dato che ha a che fare con software specifici e come funziona, piuttosto che specificatamente con la codifica.

    
posta Jacob 05.12.2018 - 13:36
fonte

1 risposta

-1

Non conosco la risposta effettiva, ma suppongo che stia installando un hook API in Windows che intercetta i dati prima che colpisca la crittografia.

[Richiesta HTTP] - > [MBAM] - > [TLS Encryption] - > [Network]

Se stai dicendo che non è stato aggiunto automaticamente un certificato di fiducia allo store del tuo sistema, questo è il secondo metodo più semplice a cui posso pensare.

    
risposta data 05.12.2018 - 18:40
fonte

Leggi altre domande sui tag