SuperMITM测试-无需替换证书实现流量扫描

显示全部楼层 · 发表于 2025-2-21 21:23:58

真是好东西，期待支持edge。人气今天没了，明天补上

显示全部楼层 · 发表于 2025-2-21 21:55:55

bbszy 发表于 2025-2-21 19:24
不替换证书实现mitm？

效果上是这样的
可以拦截https的病毒下载，而且网页证书没换。
我贴了测试结果。

显示全部楼层 · 发表于 2025-2-21 23:21:54

bbszy 发表于 2025-2-21 19:24
不替换证书实现mitm？

加密流量威胁检测中，解密不是必须的，现在有很多非解密检测方案，比如基于机器学习的检测

https://mp.weixin.qq.com/s/ToCQoz42p9DEZjJm8w_WFw

显示全部楼层 · 发表于 2025-2-22 00:07:02

00006666 发表于 2025-2-21 23:21
加密流量威胁检测中，解密不是必须的，现在有很多非解密检测方案，比如基于机器学习的检测

https://mp ...

从这个注册表键值来看还是mitm的
我倒是希望不mitm

显示全部楼层 · 发表于 2025-2-22 00:17:01

本帖最后由 wywt123 于 2025-2-22 00:33 编辑

不知道为啥，有些网址还是会莫名其妙变回Kaspersky Anti-Virus Personal Root Certificate，有些网址还是原来的证书

你在EAP论坛反馈的chrome打不开百度的问题，我这复现不了，我这开百度搜索直接变卡巴的证书了

但是下面这俩又不是卡巴的证书了
卡饭

百度贴吧

显示全部楼层 · 发表于 2025-2-22 01:12:13

本帖最后由 pal家族于 2025-2-22 01:18 编辑

wywt123 发表于 2025-2-22 00:17
不知道为啥，有些网址还是会莫名其妙变回Kaspersky Anti-Virus Personal Root Certificate，有些网址还是原 ...

这个问题我也反馈了。。 bing啊 p站啊（看图的）目前也是有问题的。不知道你那里情况。我这里卡饭倒是正常的没有替换。。。
哈哈哈哈哈

显示全部楼层 · 发表于 2025-2-22 01:31:13

本帖最后由 wywt123 于 2025-2-22 01:36 编辑

pal家族发表于 2025-2-22 01:12
这个问题我也反馈了。。 bing啊 p站啊（看图的）目前也是有问题的。不知道你那里情况。我这里卡饭倒是正 ...

？？？
我上面说的是百度搜索证书被换了，卡饭和百度贴吧正常

pixiv我这也被换，bing没问题

试了下virustotal也没问题

显示全部楼层 · 发表于 2025-2-22 01:34:49

卡巴干得不错

显示全部楼层 · 发表于 2025-2-22 06:58:55

00006666 发表于 2025-2-21 07:21
加密流量威胁检测中，解密不是必须的，现在有很多非解密检测方案，比如基于机器学习的检测

https://mp ...

感觉机器学习检测在个人电脑上，并不太适用。
你看这个公众号里面检测的是：
1.DNS加密隧道
2.TLS隐匿隧道

这两个在要么是在明文部分有差异性特征，要么是请求响应时间序列上有特征。

而个人电脑上的去做加密流量扫描，主要还是检测恶意代码，个人感觉是没有办法套用上面的方法的。

显示全部楼层 · 发表于 2025-2-22 13:01:23

pal家族发表于 2025-2-21 21:55
效果上是这样的
可以拦截https的病毒下载，而且网页证书没换。
我贴了测试结果。

这么神奇，那原理是啥呢？

[展示&分享] SuperMITM测试-无需替换证书实现流量扫描

评分