一种远程检测用户杀软的简单方法

为什么 FaceBook 的网站嵌入了卡巴斯基站点的js文件？我马上意识到，我所安装的杀软（卡巴斯基）针对https进行了类似中间人攻击（MITM）的行为，并在当前活动的页面中注入了它自己的代码以便跟踪分析网页。
嗯……，为什么不创建一个特定的网页来监视那段JavaScript代码呢？并且利用这点可以分析出客户端安装了哪种杀软？包括KIS。

创建第一个网页——iframe.html：

<!DOCTYPE html> <html> <head/>         <img src=x />     <script type="text/javascript" /> </html>

再创建第二个网页——index.html:

<!DOCTYPE html> <html> <head> <title>Remotely  AV detection</title> </head> <body> <iframe style="width:10px; height:10px; display:block; visibility:show" id="frmin" src="/iframe.html"></iframe> <button onclick="myFunction()">Check  AV</button> <script> function myFunction() { var frm = document.getElementById("frmin"); ka = frm.contentDocument.getElementsByTagName('html')[0].outerHTML; if (ka.indexOf("kasperskylab_antibanner") !== -1) {         alert("AV name is Kaspersky"); } } </script> </body> </html>

当我们打开 index.html 时，它会加载 iframe.html 并且注入js代码，通过img标签，我们可以看到它改变了iframe.html的代码。

很好，KIS反病毒软件需要从iframe.html获取代码并且解析字符串，如果网页中包含kasperskylab_antibanner则代表客户端的计算机中安装了KIS反病毒软件。

接下来，我将会尝试其他杀毒软件的检测方法，例如： Avira, Norton, DrWeb。这三种杀毒软件会安装Chrome扩展，同样会对网页内容进行注入，如此一来，我们就可以用同样的方法检测杀软类型了。

Dr.Web（大蜘蛛）

Dr.Web（大蜘蛛）的版本为11.0

Chrome扩展名称为：Dr.Web Anti-Virus Link Checker 扩展地址：https://chrome.google.com/webstore/detail/drweb-anti-virus-link-che/aleggpabliehgbeagmfhnodcijcmbonb?hl=en-US

在index.html中它会注入如下代码：

可以使用简单的JS代码来检测用户是否安装了该杀毒软件：

<script> if (document.getElementsByClassName('drweb_btn').length > 0) {         alert("AV name is DrWeb"); } </script>

Avira（小红伞）

安装 Avira Pro 版本时，它会安装两个Chrome扩展， Avira Browser Safety 和 Avira Save Search Plus。

小红伞会在index.html页面中注入一个 iframe，如下：

检测小红伞扩展程序的代码如下：

var AV = document.getElementById("abs-top-frame") if (AV!==null) { if (  AV.outerHTML.indexOf('/html/top.html')>=0 & AV.outerHTML.indexOf('chrome-extension://')>=0  ) {     alert("AV name is Avira"); } }

Norton（诺顿）

Norton 同样会安装两个Chrome扩展：

Norton注入的代码如下图所示：

同样可以用很简单的JS代码来检测是否安装了Norton：

var NAV = document.getElementById('coFrameDiv'); if ( NAV !== null) {     var nort = NAV.outerHTML;     if (nort.indexOf('coToolbarFrame')>=0 & nort.indexOf('/toolbar/placeholder.html')>=0 & nort.indexOf('chrome-extension://')>=0 )     {         alert("AV name is Norton");     } }

结论

这种检测AV的方法并不是100%的有效，毕竟用户可以禁用掉杀毒软件安装的Chrome扩展。检测代码地址：https://github.com/vah13/AVDetection