推廣 | 令人窒息的獎品等你―2016最權威的全球開發者調研

我常使用的操作系統是 Windows7，為了確保更安全，我安裝了卡巴斯基互聯網安全防病毒軟件。一天我在一個 Web 頁面上看到了一段非常有趣的代碼，在我看來它不該出現在頁面上。

為什么 Facebook 會使用卡巴斯基網站的 js 代碼?我立刻意識到是我的反病毒軟件做了 MITM，在網頁上注入代碼來跟蹤頁面的活動。在客戶端計算機上存在任何的反病毒軟件的話，包括 KIS，為什么不創建一個特殊的頁面來監視 Javascript 的代碼呢?

創建服務器的第一個頁面 iframe.html

<!DOCTYPE html>  
<html lang="en">  
<head/>  
        <img src=x /> 
 
    <script type="text/javascript" /> 
</html> 

隨后創建第二個頁面 index.html

<!DOCTYPE html> 
<html> 
<head> 
<title>Remotely AV detection</title> 
</head> 
<body> 
<iframe style="width:10px; height:10px; display:block; visibility:show" id="frmin" src="/iframe.html"></iframe> 
<button onclick="myFunction()">Check AV</button> 
<script> 
function myFunction() { 
var frm = document.getElementById("frmin"); 
ka = frm.contentDocument.getElementsByTagName('html')[0].outerHTML; 
if (ka.indexOf("kasperskylab_antibanner") !== -1) 
{ 
alert("AV name is Kaspersky"); 
} 
} 
</script> 
</body> 
</html> 

當我們打開 index.html 頁面時，它將會加載 iframe.html 并注入 js 代碼，在這個圖片中我們可以看到更改的 iframe 頁代碼

KIS 反病毒軟件需要從 iframe.html 中讀取代碼并分析字符串，如果頁面有 kasperskylab_antibanner 我們就可以說客戶端計算機已經安裝了卡巴斯基反病毒軟件。

我想看看這種方法對于其他反病毒軟件的檢出情況，是只能檢出卡巴斯基還是其他的也可以。接下來對 Avira、Norton、DrWeb 反病毒軟件進行檢測，如果有人想繼續研究，我很高興聽到研究的結果。

Avira、Norton、DrWeb 和 Chrome 搭配進行檢測，甚至還要安裝插件來讓反病毒軟件可以注入特定數據到頁面以完成對頁面的檢測。

Dr.Web

DrWeb Security Space 11.0

Chrome 擴展的名字：Dr.Web Anti-Virus Link Checker Extension URL

在 index.html 中注入下列代碼：

使用以下簡單代碼就可以檢測出客戶端是否安裝了 DrWeb

<script>  
if (document.getElementsByClassName('drweb_btn').length > 0)  
{  
alert("AV name is DrWeb");  
}  
</script>  
##Avira 

當你安裝了 Avira antivirus Pro 時，直接就給你安裝了兩個擴展：Avira Browser Safety 和 Avira Save Search Plus

Avira 會注入下列代碼

如下簡單代碼就可以檢測出 Avira

var AV = document.getElementById("abs-top-frame") 
if (AV!==null) 
{ 
if ( 
AV.outerHTML.indexOf('/html/top.html')>=0 & AV.outerHTML.indexOf('chrome-extension://')>=0 
) 
{ 
alert("AV name is Avira"); 
} 
} 
Norton 

諾頓會像 Avira 一樣安裝兩個插件

會注入如下代碼

通過下面的代碼就可以檢測出 Norton

var NAV = document.getElementById('coFrameDiv');  
if ( NAV !== null)  
{  
var nort = NAV.outerHTML;  
if (nort.indexOf('coToolbarFrame')>=0 & nort.indexOf('/toolbar/placeholder.html')>=0 & nort.indexOf('chrome-extension://')>=0 )  
{  
alert("AV name is Norton");  
}  
} 

結論

1. 這種方法并不能保證百分之百檢出反病毒軟件，因為用戶可以禁用安裝的 Chrome 擴展。

2. 這篇文章的靈感主要來自于遠程檢測用戶反病毒軟件。

3. 相關代碼可以在 GitHub 上找到。

【編輯推薦】