gpt4 book ai didi

browser - 是否可以通过返回虚假的已安装字体列表来阻止浏览器指纹识别?

转载 作者:行者123 更新时间:2023-12-02 16:32:36 28 4
gpt4 key购买 nike

是否可以编写一个程序来屏蔽计算机上安装的字体集,以便字体列表显示为“普通”,并且对于创建〜独特的指纹没有多大值(value)? https://panopticlick.eff.org/

最佳答案

某些浏览器可能对此有一些支持,但是使用任何浏览器,您都可以拦截用于枚举字体列表的 winapi 调用。

基本上,您编写一个将加载到浏览器进程中的 dll,然后它将拦截浏览器在枚举字体时对操作系统进行的调用。只需查找 Windows 中的哪些函数用于枚举字体,然后在您的 dll 中伪造它们即可。 (但这可能需要一些工作,因为您必须重写字体枚举逻辑)。

此外,某些浏览器很可能只是读取注册表来枚举字体,而不使用专门的字体函数,在这种情况下,您将必须拦截registry-winapi函数,并确保它们报告的字体列表你想要的。

要将 dll 加载到目标进程中,您可以使用 Windows Hook ,或使用 .exe 文件编辑器将 dll 添加到浏览器 exe 文件的导入表中。注册表中还有一个特殊的地方,如果你在那里添加一个dll,它将被加载到系统中的每个进程。 (然后你必须检查浏览器进程,然后只拦截 api 调用,这样不是系统上的每个程序都会获得伪造的字体列表)。

此外,浏览器可能会在另一个进程中运行一些插件、activex 控件、java 或类似的东西(例如,chrome 在不同进程中运行每个选项卡),所以我会检查每个进程的父进程,如果您看到它已被浏览器启动,请也在该进程中拦截字体列表。这样,目标网页将无法通过flash、插件、java或任何其他方式获取真实的字体列表。

拦截 winapi 调用的良好开端可以在这里找到:http://www.codeproject.com/KB/system/InterceptWinAPICalls.aspx

所以这是一种可靠的方法,虽然不可能在一小时内完成,但也不是太复杂。

当然,这不仅会使您的字体列表变得虚假,还会使浏览器看不到也无法显示不在列表中的字体。

当然,这一切都适用于 Windows,但在其他操作系统上肯定也有类似的方法。

另外,值得注意的是,如果您禁用了 javascript 和插件(flash),我认为网页无法读取字体列表。

关于browser - 是否可以通过返回虚假的已安装字体列表来阻止浏览器指纹识别?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/4625312/

28 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com