Windows7是我经常工作使用的操作系统,为了进一步保证安全性,我安装了卡巴斯基网络安全反病毒软件。有一天,我在一个网页中发现一段有趣的代码,然而这段代码本身并不应该出现在这样的网页中。
为什么 FaceBook 的网站嵌入了卡巴斯基站点的js文件?我马上意识到,我所安装的杀软(卡巴斯基)针对https进行了类似中间人攻击(MITM)的行为,并在当前活动的页面中注入了它自己的代码以便跟踪分析网页。
嗯……,为什么不创建一个特定的网页来监视那段JavaScript代码呢?并且利用这点可以分析出客户端安装了哪种杀软?包括KIS。
创建第一个网页——iframe.html:
<!DOCTYPE html> <html> <head/> <img src=x /> <script type="text/javascript" /> </html>
再创建第二个网页——index.html:
<!DOCTYPE html> <html> <head> <title>Remotely AV detection</title> </head> <body> <iframe style="width:10px; height:10px; display:block; visibility:show" id="frmin" src="/iframe.html"></iframe> <button onclick="myFunction()">Check AV</button> <script> function myFunction() { var frm = document.getElementById("frmin"); ka = frm.contentDocument.getElementsByTagName('html')[0].outerHTML; if (ka.indexOf("kasperskylab_antibanner") !== -1) { alert("AV name is Kaspersky"); } } </script> </body> </html>
当我们打开 index.html 时,它会加载 iframe.html 并且注入js代码,通过img标签,我们可以看到它改变了iframe.html的代码。
很好,KIS反病毒软件需要从iframe.html获取代码并且解析字符串,如果网页中包含kasperskylab_antibanner则代表客户端的计算机中安装了KIS反病毒软件。
接下来,我将会尝试其他杀毒软件的检测方法,例如: Avira, Norton, DrWeb。这三种杀毒软件会安装Chrome扩展,同样会对网页内容进行注入,如此一来,我们就可以用同样的方法检测杀软类型了。
Dr.Web(大蜘蛛)
Dr.Web(大蜘蛛)的版本为11.0
Chrome扩展名称为:Dr.Web Anti-Virus Link Checker 扩展地址:https://chrome.google.com/webstore/detail/drweb-anti-virus-link-che/aleggpabliehgbeagmfhnodcijcmbonb?hl=en-US
在index.html中它会注入如下代码:
可以使用简单的JS代码来检测用户是否安装了该杀毒软件:
<script> if (document.getElementsByClassName('drweb_btn').length > 0) { alert("AV name is DrWeb"); } </script>
Avira(小红伞)
安装 Avira Pro 版本时,它会安装两个Chrome扩展, Avira Browser Safety 和 Avira Save Search Plus。
小红伞会在index.html页面中注入一个 iframe,如下:
检测小红伞扩展程序的代码如下:
ar AV = document.getElementById("abs-top-frame") if (AV!==null) { if ( AV.outerHTML.indexOf('/html/top.html')>=0 & AV.outerHTML.indexOf('chrome-extension://')>=0 ) { alert("AV name is Avira"); } }
Norton(诺顿)
Norton 同样会安装两个Chrome扩展:
Norton注入的代码如下图所示:
同样可以用很简单的JS代码来检测是否安装了Norton:
var NAV = document.getElementById('coFrameDiv'); if ( NAV !== null) {
var nort = NAV.outerHTML; if (nort.indexOf('coToolbarFrame')
>=0 & nort.indexOf('/toolbar/placeholder.html')>=0 & nort.indexOf
('chrome-extension://')>=0 ) { alert("AV name is
Norton"); } }结论
这种检测AV的方法并不是100%的有效,毕竟用户可以禁用掉杀毒软件安装的Chrome扩展。检测代码地址:https://github.com/vah13/AVDetection
【本文来源:嘶吼 yuyang小编编整理发布】