51CTO首页
AI.x社区
博客
学堂
精品班
软考社区
免费课
企业培训
鸿蒙开发者社区
WOT技术大会
IT证书
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术24年11月软考PMP项目管理免费题库
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO软考
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
51CTO软考题库
账号设置 退出

简单方法检测远端用户的反病毒软件

作者:佚名
安全
我常使用的操作系统是 Windows7,为了确保更安全,我安装了卡巴斯基互联网安全防病毒软件。一天我在一个 Web 页面上看到了一段非常有趣的代码,在我看来它不该出现在页面上。

我常使用的操作系统是 Windows7,为了确保更安全,我安装了卡巴斯基互联网安全防病毒软件。一天我在一个 Web 页面上看到了一段非常有趣的代码,在我看来它不该出现在页面上。

为什么 Facebook 会使用卡巴斯基网站的 js 代码?我立刻意识到是我的反病毒软件做了 MITM,在网页上注入代码来跟踪页面的活动。在客户端计算机上存在任何的反病毒软件的话,包括 KIS,为什么不创建一个特殊的页面来监视 Javascript 的代码呢?

创建服务器的第一个页面 iframe.html

  1. <!DOCTYPE html>  
  2. <html lang="en" 
  3. <head/>  
  4.         <img src=x /> 
  5.  
  6.     <script type="text/javascript" /> 
  7. </html> 

随后创建第二个页面 index.html

  1. <!DOCTYPE html> 
  2. <html> 
  3. <head> 
  4. <title>Remotely AV detection</title> 
  5. </head> 
  6. <body> 
  7. <iframe style="width:10px; height:10px; display:block; visibility:show" id="frmin" src="/iframe.html"></iframe> 
  8. <button onclick="myFunction()">Check AV</button> 
  9. <script> 
  10. function myFunction() { 
  11. var frm = document.getElementById("frmin"); 
  12. ka = frm.contentDocument.getElementsByTagName('html')[0].outerHTML; 
  13. if (ka.indexOf("kasperskylab_antibanner") !== -1) 
  15. alert("AV name is Kaspersky"); 
  18. </script> 
  19. </body> 
  20. </html> 

当我们打开 index.html 页面时,它将会加载 iframe.html 并注入 js 代码,在这个图片中我们可以看到更改的 iframe 页代码

KIS 反病毒软件需要从 iframe.html 中读取代码并分析字符串,如果页面有 kasperskylab_antibanner 我们就可以说客户端计算机已经安装了卡巴斯基反病毒软件。

我想看看这种方法对于其他反病毒软件的检出情况,是只能检出卡巴斯基还是其他的也可以。接下来对 Avira、Norton、DrWeb 反病毒软件进行检测,如果有人想继续研究,我很高兴听到研究的结果。

Avira、Norton、DrWeb 和 Chrome 搭配进行检测,甚至还要安装插件来让反病毒软件可以注入特定数据到页面以完成对页面的检测。

Dr.Web

DrWeb Security Space 11.0

Chrome 扩展的名字:Dr.Web Anti-Virus Link Checker Extension URL

在 index.html 中注入下列代码:

使用以下简单代码就可以检测出客户端是否安装了 DrWeb

  1. <script>  
  2. if (document.getElementsByClassName('drweb_btn').length > 0)  
  3.  
  4. alert("AV name is DrWeb");  
  5.  
  6. </script>  
  7. ##Avira 

当你安装了 Avira antivirus Pro 时,直接就给你安装了两个扩展:Avira Browser Safety 和 Avira Save Search Plus

Avira 会注入下列代码

如下简单代码就可以检测出 Avira

  1. var AV = document.getElementById("abs-top-frame"
  2. if (AV!==null
  4. if ( 
  5. AV.outerHTML.indexOf('/html/top.html')>=0 & AV.outerHTML.indexOf('chrome-extension://')>=0 
  8. alert("AV name is Avira"); 
  11. Norton 

诺顿会像 Avira 一样安装两个插件

会注入如下代码

通过下面的代码就可以检测出 Norton

  1. var NAV = document.getElementById('coFrameDiv');  
  2. if ( NAV !== null 
  3.  
  4. var nort = NAV.outerHTML;  
  5. if (nort.indexOf('coToolbarFrame')>=0 & nort.indexOf('/toolbar/placeholder.html')>=0 & nort.indexOf('chrome-extension://')>=0 )  
  6.  
  7. alert("AV name is Norton");  
  8.  

结论

1. 这种方法并不能保证百分之百检出反病毒软件,因为用户可以禁用安装的 Chrome 扩展。

2. 这篇文章的灵感主要来自于远程检测用户反病毒软件。

3. 相关代码可以在 GitHub 上找到。

责任编辑:武晓燕 来源: FreeBuf
反病毒软件远端
相关推荐
反病毒软件已死?
云服务不断壮大的过程里,安全管理人员一直都在说反病毒软件正在消亡。但是,根据FSecure透露,安全问题其实并未消失,而只是换了一种存在方式。

2014-05-19 10:50:08

浅谈反病毒软件作用
本文主要介绍了反病毒软件的功能及作用。

2010-07-16 12:15:39

反病毒软件病毒
恶意软件无孔不入 反病毒软件希望何在?
国外知名技术站点TechRepublic近日对NSS实验室总裁Moy进行了采访,探讨了有关反病毒软件在防范恶意软件上所遇到的问题和当前的不足方面的问题。主要的安全厂商的扫描数据显示,有超过30%装有反病毒产品的计算机还是感染了某种病毒,这个说明恶意软件还远远没有得到控制。

2010-03-31 09:41:05

VDI消除了对反病毒软件需求?
你和美国银行的执行官有什么相似之处?估计不是你薪水的位数。但是你们都使用笔记本电脑来处理业务。并且你如果不是正在使用桌面虚拟化技术,你也可能像某位美国银行执行官一样成为数据被盗的牺牲者。

2011-06-29 11:17:37

报告:65%Android反病毒软件不可靠
他们做了一项专业实验,分别测试了41款Android平台的反病毒软件,结果发现近三分之二的反软件是不可靠的。试验中共使用了618种恶意软件,而某些反病毒软件只识别出不到65%。

2012-03-12 14:17:10

反病毒软件江湖:排斥与兼容战争(3)
实时监控、主动防御等技术的发展是一柄双刃剑,一方面随着监控点的增加能应对新的安全威胁,另一方面也使反病毒产品的稳定性遇到挑战,测试难度普遍加大。反病毒产品自身的稳定性压力都在呈现几何级数增长,相互之间的兼容则变得更加困难。以下从主动防御技术点,描述导致反病毒产品自身的稳定性下降、与操作系统之间和相互之间出现严重冲突问题的成因。

2011-06-17 14:41:46

兼容性反病毒主动防御
反病毒软件江湖:排斥与兼容战争(1)
实时监控、主动防御等技术的发展是一柄双刃剑,一方面随着监控点的增加能应对新的安全威胁,另一方面也使反病毒产品的稳定性遇到挑战,测试难度普遍加大。反病毒产品自身的稳定性压力都在呈现几何级数增长,相互之间的兼容则变得更加困难。以下从文件监控技术点,描述导致反病毒产品自身的稳定性下降、与操作系统之间和相互之间出现严重冲突问题的成因。

2011-06-17 14:40:49

文件监控病毒
无边界管理企业反病毒软件将退市
在网络安全领域应当有边界:如果我们能在不同的程序与文件进入计算机前划定一条严格的边界、进入之后进行严密的监控,那么就相当于锁定了防御的范围,也才有防御的可能。

2014-05-22 13:08:23

反病毒软件江湖:排斥与兼容战争(2)
实时监控、主动防御等技术的发展是一柄双刃剑,一方面随着监控点的增加能应对新的安全威胁,另一方面也使反病毒产品的稳定性遇到挑战,测试难度普遍加大。反病毒产品自身的稳定性压力都在呈现几何级数增长,相互之间的兼容则变得更加困难。以下从防火墙、浏览器防护两个主要技术点,描述导致反病毒产品自身的稳定性下降、与操作系统之间和相互之间出现严重...

2011-06-17 14:41:49

兼容性防火墙浏览器防护
赛门铁克反病毒软件更新后捣毁Windows XP系统
计算机安全厂商赛门铁克今天确认,由于程序上的问题,SymantecEndpointProtectionSmallBusinessEdition12.1,EndpointProtection12这两款软件在今天的更新后会导致WindowsXP系统的PC崩溃并且无法操作,据赛门铁克所知,受影响的企业用户为300家,消费用户为60名,时值周末且软件本身面向企业,据用户投诉来看数量并不大。

2012-07-16 09:23:54

赛门铁克Windows XP
黑客组织Anonymous披露诺顿反病毒软件源代码
如今,黑客组织越来越被关注,他已深入到人们的生活中。据国外媒体报道,黑客组织Anonymous近日披露诺顿反病毒2006版程序的源代码,此举可能会对赛门铁克产生严重的破坏影响。

2012-03-13 16:36:21

传统反病毒软件厂商学会新把戏
测试表明,传统的反病毒软件厂商已增添了深层防御和自带设备(BYOD)保护等功能。

2015-05-27 09:23:31

提防伸向反病毒软件魔爪 AV终结者
卡巴斯基实验室近期截获一种新型的“AV终结者”(Trojan.Win32.AntiAV.asq)的木马程序。

2009-04-08 11:44:25

替换反病毒软件虚拟机工具:vCenter Protect
VMware不仅没有棒杀ShavlikNetChkProtect,还进行了增强,变为VMwarevCenterProtect问世。不似VMware目前的管理工具,vCenterProtect能同时管理物理机与虚拟机。

2013-01-17 11:05:42

谷歌工程师公布Sophos反病毒软件缺陷
北京时间8月8日下午消息,谷歌安全工程师塔维斯·奥曼迪(TavisOrmandy)上周四在拉斯维加斯举行的黑帽安全大会上宣布,在对反病毒公司Sophos的企业安全产品进行研究后,他发现该产品的签名和加密系统存在缺陷,有可能会破坏这款杀毒软件的完整性,从而帮助恶意软件绕过该产品的扫描或产生不真实的结果。

2011-08-08 15:36:57

如何评估、比较和实施企业级反病毒软件
性能很重要,但首席信息安全官和分析师们表示,性能绝不是比较企业级反病毒软件时的唯一着眼点。

2010-12-02 10:17:29

黑客宣布下周二公布诺顿反病毒软件源代码
北京时间1月15日上午消息,一名自称为“YamaTough”的黑客周六宣称,将于下周公布赛门铁克旗舰产品诺顿反病毒软件的全部源代码。

2012-01-16 10:22:51

卡巴斯基反病毒软件2009再获VB100大奖
卡巴斯基实验室宣布卡巴斯基反病毒软件2009再次获得由权威英国杂志《VirusBulletin》颁发的著名VB100奖项。

2009-04-21 14:34:59

恶意软件测试卡巴斯基
两款恶意软件彼此协助侵害用户电脑
微软称很难用反病毒软件移除Vobfus和Beebone两个恶意程序,这两个程序彼此交替下载不同的软件版本,目的是躲过反病毒软件的检测。

2013-07-03 16:32:44

恶意软件VobfusBeebone
赛门铁克公告称黑客已盗取其两款企业反病毒软件源码
对于一个反病毒厂商而言,这可能是最乌龙也是最丢人的事情,赛门铁克今天遗憾地证实,两款企业版诺顿防病毒产品源码被黑客获得,具体分别为EndpointProtection11.0和SymantecAntiVirus10.2,虽然这已经不是最新产品并且均已停产,但完整源代码的丢失意味着现有版本也遭受威胁。

2012-01-09 11:02:52

点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服