回归最本质的信息安全

一种远程检测用户杀软的简单方法

2017年2月3日发布

6,729
1
0

导语:Chrome浏览器的使用越来越普及,如何利用Chrome浏览器和AV自身的特性来检测客户端AV将会越来越有趣。

Windows7是我经常工作使用的操作系统,为了进一步保证安全性,我安装了卡巴斯基网络安全反病毒软件——KIS。有一天,我在一个网页中发现一段有趣的代码,然而这段代码本身并不应该出现在这样的网页中。

1.png

为什么 FaceBook 的网站嵌入了卡巴斯基站点的js文件?我马上意识到,我所安装的杀软(卡巴斯基)针对https进行了类似中间人攻击(MITM)的行为,并在当前活动的页面中注入了它自己的代码以便跟踪分析网页。
嗯……,为什么不创建一个特定的网页来监视那段JavaScript代码呢?并且利用这点可以分析出客户端安装了哪种杀软?包括KIS。

创建第一个网页——iframe.html:

<!DOCTYPE html> <html> <head/>         <img src=x />     <script type="text/javascript" /> </html>

再创建第二个网页——index.html:

<!DOCTYPE html> <html> <head> <title>Remotely  AV detection</title> </head> <body> <iframe style="width:10px; height:10px; display:block; visibility:show" id="frmin" src="/iframe.html"></iframe> <button onclick="myFunction()">Check  AV</button> <script> function myFunction() { var frm = document.getElementById("frmin"); ka = frm.contentDocument.getElementsByTagName('html')[0].outerHTML; if (ka.indexOf("kasperskylab_antibanner") !== -1) {         alert("AV name is Kaspersky"); } } </script> </body> </html>

当我们打开 index.html 时,它会加载 iframe.html 并且注入js代码,通过img标签,我们可以看到它改变了iframe.html的代码。

2.png

很好,KIS反病毒软件需要从iframe.html获取代码并且解析字符串,如果网页中包含kasperskylab_antibanner则代表客户端的计算机中安装了KIS反病毒软件。

接下来,我将会尝试其他杀毒软件的检测方法,例如: Avira, Norton, DrWeb。这三种杀毒软件会安装Chrome扩展,同样会对网页内容进行注入,如此一来,我们就可以用同样的方法检测杀软类型了。

Dr.Web(大蜘蛛)

Dr.Web(大蜘蛛)的版本为11.0

3.png

Chrome扩展名称为:Dr.Web Anti-Virus Link Checker 扩展地址:https://chrome.google.com/webstore/detail/drweb-anti-virus-link-che/aleggpabliehgbeagmfhnodcijcmbonb?hl=en-US

在index.html中它会注入如下代码:

1485978382833944.png

可以使用简单的JS代码来检测用户是否安装了该杀毒软件:

<script> if (document.getElementsByClassName('drweb_btn').length > 0) {         alert("AV name is DrWeb"); } </script>

Avira(小红伞)

安装 Avira Pro 版本时,它会安装两个Chrome扩展, Avira Browser Safety 和 Avira Save Search Plus。

1485978396926480.png

小红伞会在index.html页面中注入一个 iframe,如下:

6.png

检测小红伞扩展程序的代码如下:

var AV = document.getElementById("abs-top-frame") if (AV!==null) { if (  AV.outerHTML.indexOf('/html/top.html')>=0 & AV.outerHTML.indexOf('chrome-extension://')>=0  ) {     alert("AV name is Avira"); } }

Norton(诺顿)

Norton 同样会安装两个Chrome扩展:

1485978424936924.png

Norton注入的代码如下图所示:

8.png

同样可以用很简单的JS代码来检测是否安装了Norton:

var NAV = document.getElementById('coFrameDiv'); if ( NAV !== null) {     var nort = NAV.outerHTML;     if (nort.indexOf('coToolbarFrame')>=0 & nort.indexOf('/toolbar/placeholder.html')>=0 & nort.indexOf('chrome-extension://')>=0 )     {         alert("AV name is Norton");     } }

结论

这种检测AV的方法并不是100%的有效,毕竟用户可以禁用掉杀毒软件安装的Chrome扩展。检测代码地址:https://github.com/vah13/AVDetection

本文翻译于vah13.github.io,如若转载,请注明来源于嘶吼: http://www.4hou.com/technology/3133.html

点赞 0
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

丝绸之路

丝绸之路

嘶吼认证-特约作者/译者

发私信

发表评论

    天海 春香
    天海 春香 2017-02-03 09:13

    其实有些chrome插件也会做这种事情,例如adb