logo好方法网

一种获取远程连接凭证的方法

发布时间:2020-09-25 发布人:admin 分类:专利技术 资料大小:0.56M 资料格式:pdf 举报 版权申诉

技术摘要:
本发明涉及一种获取远程连接凭证的方法,包括如下步骤:S01.服务端向lsass.exe进程内注入检测程序;S02.检测程序创建用于处理检测结果的线程A;S03.服务端提取接收客户端的凭证信息以及客户端的随机数,同时检查协议类型,并对response做出修改;S04.检查登录类型,依  全部
背景技术:
远程桌面协议(RDP,Remote  Desktop  Protocol)是一个多通道(multi-channel) 的协议,让用户(客户端或称"本地电脑")连上提供微软终端机服务的电脑(服务器端或称" 远程电脑")。用户可以使用Microsoft远程桌面客户端,通过几乎任何设备从几乎任意位置 连接到远程电脑和工作资源。用户可以连接到自身的工作电脑并访问电脑中的所有应用、 文件和网络资源,就像坐在办公桌前面一样。通过使用RDP客户端,即可在工作时使应用处 于打开状态,然后在家里查看这些相同应用。 在远程登陆建立连接前中,客户端首先需要进行登录过程,以连接服务端,当登录 正确后,开始传输数据并且对数据进行加密,当前技术中是对远程连接成功后,再对传输的 数据进行处理,但在连接之前的登录部分没有任何处理,因此在登陆过程中,登录连接前的 数据无法记录收集,对用户的后续行为不便于分析。 中国专利文献CN105592121B公开了一种RDP数据采集装置,包括:IP数据转发模 块、RDP处理模块以及RDP日志生成模块;其中,所述IP数据转发模块负责接收网络中的数据 包,并转发经过自身处理的数据包;所述RDP处理模块负责获取RDP会话数据传输过程中的 密钥信息,并对密文数据进行解密;所述RDP日志生成模块根据一定的规则和数据格式生成 RDP会话日志,该发明极大较少了系统资源开销和处理时间,但该方法只能采集登录成功后 的数据信息,对于登录成功前的数据无法进行收集,使得登录不成功的用户信息无法被收 集,不便于对用户后续行为进行分析。 中国专利文献CN101848214B公开了一种基于RDP审计数据的任意定位回放方法及 系统,包括RDP审计数据服务端及RDP回放客户端;RDP审计数据服务端包括:RDP代理服务器 和审计数据服务器;RDP回放客户端包括:审计数据客户端、RDP解码模块、压缩模块、RDP定 位模块、RDP回放模块和RDP回放介面模块。本发明能实现了RDP的审计回放,任意定位回放, 对超长审计内容也能迅速定位,但该方法中可对远程登录连接成功后的用户数据进行收集 分析,对于一些恶意登录且登录失败的用户无法收集数据信息,进而也无法分析后续行为。
技术实现要素:
针对上述现有技术中存在的问题,本发明公布了一种获取远程连接凭证的方法, 本发明通过使客户端凭证登录验证过程保持通过,从而获取客户端发送的哈希密码数据, 解决了现有技术中无法对远程登录连接前的数据进行处理的问题,便于分析用户后续行 为,为后期用户甄别提供保障。 客户端(Client)或称为用户端,是指与服务器相对应,为客户提供本地服务的程 序,除了一些只在本地运行的应用程序之外,一般安装在普通的客户机上,需要与服务端互 相配合运行。服务端是为客户端服务的,服务的内容诸如向客户端提供资源,保存客户端数 3 CN 111586124 A 说 明 书 2/3 页 据。远程登录(rlogin)是一个UNIX命令,它允许授权用户进入网络中的其它UNIX机器并且 就像用户在现场操作一样。一旦进入主机,用户可以操作主机允许的任何事情,通过远程登 录,本地计算机便能与网络上另一远程计算机取得“联系”,并进行程序交互 本发明所公开的具体的技术方案如下:一种获取远程连接凭证的方法,包括如下 步骤: S01.服务端向lsass.exe进程内注入检测程序; S02.检测程序创建用于处理检测结果的线程A; S03 .服务端提取接收客户端的凭证信息以及客户端的随机数,同时检查协议类 型,并对response做出修改; S04.检查登录类型,依据检查结果判断是否对验证流程进行修改; S05.当客户端进行网络登录时,记录客户端的密码哈希值,并通知线程A; S06.线程A得出结果,控制用户远程登录。 该方法中检测程序可判断登录类型,并依据不同登录类型对验证流程进行修改, 从而控制用户登录,既保证了服务端的安全,也可以对用户数据进行收集,为后续分析提供 数据。 进一步的,所述S03步骤中response的修改方法为: S0311.在msv1_0模块中找出对应协议的response计算函数,计算出服务器正确的 response; S0312.服务端修改传入函数SpacceptLsamodecontext中的参数,将参数中客户端 发送的response,换成计算正确的response, 上述修改方法可使登陆过程中利用正确的response与服务端先建立连接,从而收 集用户的数据信息,之后再将用户端的response与正确的response对比,判断是否限制登 录。 进一步的,所述S04步骤中的登录类型包括本地登录和网络登录。 进一步的,所述S04步骤中判断方法为当检测结果为网络登录时,修改验证流程; 当检测结果不是网络登录时,则还原修改的response,不对验证流程进行修改。 进一步的 ,所述 S 0 5步骤中当客 户端进行登录时 ,通过 h o o k 函数中 MsvpPasswordValidate来记录客户端的密码哈希值。 进一步的,所述S06步骤中用户远程登录控制方法为:将计算正确的response与客 户端发送的response进行对比判断,若参数不一致,对比结果发送线程A处理,使客户端登 录失败,并禁止远程输入,若参数一致,使客户端登录成功,并保持远程输入。 进一步的,所述检测程序采用dll注入方式注入至进程内,其他可达到相同注入效 果的方式也可采用。 本发明同现有技术相比,具有如下优点: 1)本发明通过注入检测程序,在用户远程登录过程中修改验证流程,使凭证验证 时总是通过,从而能在登录用户时获取客户端发送的哈希密码,以便于后续对用户的行为 进行分析。 2)本发明中将远程登录和本地登录进行区分,通过检测登录类型决定是否对验证 流程进行修改,防止本地登录影响验证过程。 4 CN 111586124 A 说 明 书 3/3 页 3)本发明即可保证远程登录过程所有数据都被收集,也可防止恶意用户远程登录 服务器,通过采集恶意用户的数据信息,后期可快速甄别恶意用户,提高了安全保障。 附图说明 图1是本发明实施例中一种获取远程连接凭证的方法的流程图;
    分享到:
    收藏

    相关推荐