Ich kenne den HTTP-Filter von Malwarebytes nicht speziell, aber ich gehe davon aus, dass er auf ähnliche Weise wie Fiddler funktioniert .
Fiddler selbst ist ein HTTP-Proxy, der Anfragen bearbeitet. Es funktioniert, indem ein HTTP-Server an einem Port ausgeführt wird 8888
, der sowohl HTTP- als auch HTTPS-Verbindungen akzeptiert.
Wenn Sie Fiddler ausführen, werden die systemweiten Internetverbindungseinstellungen von Windows neu konfiguriert, um sich selbst als systemweiten HTTP-Proxy festzulegen. Sie sehen dies, wenn Sie unter Systemsteuerung> Internetoptionen> Verbindungen> LAN-Einstellungen> Proxyserver> Erweitert> HTTP nachsehen 127.0.0.1:8888
. Wenn Sie Fiddler schließen, werden die Einstellungen auf die vorherigen Werte zurückgesetzt.
Diese Einstellungen in Internetoptionen werden automatisch von allen Anwendungen verwendet, die WinINet und WinHTTP verwenden (dies sind Windows-Komponenten, die HTTP-Anforderungen für Userland-Anwendungssoftware verarbeiten). Software, die WinINet oder WinHTTP nicht verwendet (z. B. Java- und .NET-Programme, die über eigene HTTP-Clientbibliotheken verfügen), respektiert häufig die Systemeinstellungen von WinINet / WinHTTP ( in den meisten Fällen sowieso ). Chrome verfügt auch über einen eigenen HTTP-Client-Stack, berücksichtigt aber auch die Systemeinstellungen. Ich glaube, Firefox ist das Gleiche.
Diese HTTP-Proxys empfangen dann die Anfragen, die normalerweise direkt an die vorgesehene Website gehen würden, sie können die Anfrage dann prüfen und bearbeiten (z. B. um sie abzulehnen) oder an das beabsichtigte Ziel weiterleiten. HTTPS kann mit einem privaten X.509-Zertifikat behandelt werden, das für alle Hosts vertrauenswürdig und gültig ist, oder indem diese Anforderungen weitergeleitet werden. Wenn Ihr Zertifikat nicht wirklich privat und spezifisch für Ihren Computer ist, ist dies eine massive Sicherheitsanfälligkeit, und Sie sollten das Zertifikat sofort entfernen.
Fiddler und wie es funktioniert, wird in diesem Blogartikel beschrieben: http://www.mehdi-khalili.com/fiddler-in-action/part-1
Neben HTTP- und HTTPS-Proxys bieten SOCKS-Proxys auch eine Injektionsroute - auch wenn es sich dabei um einen älteren Ansatz handelt, der heutzutage nicht mehr alltäglich ist (SOCKS gilt für den gesamten TCP- und UDP-Verkehr, wohingegen HTTP-Proxys nur HTTP spezifisch behandeln).
Aktualisieren:
Mit Windows Vista wurde ein neuer Erweiterungspunkt namens Windows Filtering Platform (WFP) eingeführt, der eine schönere API als eine manuelle HTTP / HTTP-Proxy-Konfiguration bietet und Software ermöglicht, mehr als nur HTTP-Datenverkehr zu filtern. Es ist auch direkt in den Netzwerkstack integriert, was bedeutet, dass es in der Lage sein sollte, den gesamten HTTP-Verkehr abzufangen, selbst von Anwendungen, die die WinINet- oder WinHTTP-Konfiguration nicht berücksichtigen.
Diese API wurde in aufeinanderfolgenden Versionen von Windows aktualisiert, sodass sie aktiv unterstützt wird und anscheinend speziell für Sicherheitsprodukte entwickelt wurde:
Mit der WFP-API können Entwickler Firewalls, Intrusion Detection-Systeme, Antivirus-Programme, Netzwerküberwachungstools und Kindersicherungen implementieren.
Die Windows-Filterplattform ist eine Entwicklungsplattform und keine Firewall selbst. Die in Windows Vista, Windows Server 2008 und neuere Betriebssysteme integrierte Firewallanwendung - Windows-Firewall mit erweiterter Sicherheit (WFAS) - wird mit WFP implementiert.
Es sei darauf hingewiesen, dass WFP eine Kernel-Modus-API ist - was bedeutet, dass es schwieriger ist, dagegen zu programmieren. Wenn eine WFP-Implementierung einen Fehler aufweist und abstürzt, kann dies zu einem BUGCHECK (Blue Screen of Death) führen. Daher ist es möglich, dass Entwickler es vorziehen, einen HTTP-Proxy anstelle eines WFP zu verwenden, da dies einfacher und weniger wahrscheinlich zu einer schlechten Benutzererfahrung führt.
Dies ist hier dokumentiert: https://msdn.microsoft.com/de-de/library/windows/desktop/aa366510%28v=vs.85%29.aspx?f=255&MSPPError=-2147217396