CN111586124A - 一种获取远程连接凭证的方法 - Google Patents

一种获取远程连接凭证的方法 Download PDF

Info

Publication number
CN111586124A
CN111586124A CN202010348519.4A CN202010348519A CN111586124A CN 111586124 A CN111586124 A CN 111586124A CN 202010348519 A CN202010348519 A CN 202010348519A CN 111586124 A CN111586124 A CN 111586124A
Authority
CN
China
Prior art keywords
client
login
response
remote connection
thread
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010348519.4A
Other languages
English (en)
Other versions
CN111586124B (zh
Inventor
吴建亮
胡鹏
张振林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangzhou Jeeseen Network Technologies Co Ltd
Original Assignee
Guangzhou Jeeseen Network Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangzhou Jeeseen Network Technologies Co Ltd filed Critical Guangzhou Jeeseen Network Technologies Co Ltd
Priority to CN202010348519.4A priority Critical patent/CN111586124B/zh
Publication of CN111586124A publication Critical patent/CN111586124A/zh
Application granted granted Critical
Publication of CN111586124B publication Critical patent/CN111586124B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/08Protocols specially adapted for terminal emulation, e.g. Telnet
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本发明涉及一种获取远程连接凭证的方法,包括如下步骤:S01.服务端向lsass.exe进程内注入检测程序;S02.检测程序创建用于处理检测结果的线程A;S03.服务端提取接收客户端的凭证信息以及客户端的随机数,同时检查协议类型,并对response做出修改;S04.检查登录类型,依据检查结果判断是否对验证流程进行修改;S05.当客户端进行网络登录时,记录客户端的密码哈希值,并通知线程A;S06.线程A得出结果,控制用户远程登录,本发明解决了现有技术中无法对远程登录连接前的数据进行处理的问题,从而在用户登录时获取客户端发送的哈希密码,以便分析用户后续行为。

Description

一种获取远程连接凭证的方法
技术领域
本发明涉及网络通信技术领域,具体的说是一种获取远程连接凭证的方法。
背景技术
远程桌面协议(RDP,Remote Desktop Protocol)是一个多通道(multi-channel)的协议,让用户(客户端或称"本地电脑")连上提供微软终端机服务的电脑(服务器端或称"远程电脑")。用户可以使用Microsoft远程桌面客户端,通过几乎任何设备从几乎任意位置连接到远程电脑和工作资源。用户可以连接到自身的工作电脑并访问电脑中的所有应用、文件和网络资源,就像坐在办公桌前面一样。通过使用RDP客户端,即可在工作时使应用处于打开状态,然后在家里查看这些相同应用。
在远程登陆建立连接前中,客户端首先需要进行登录过程,以连接服务端,当登录正确后,开始传输数据并且对数据进行加密,当前技术中是对远程连接成功后,再对传输的数据进行处理,但在连接之前的登录部分没有任何处理,因此在登陆过程中,登录连接前的数据无法记录收集,对用户的后续行为不便于分析。
中国专利文献CN105592121B公开了一种RDP数据采集装置,包括:IP数据转发模块、RDP处理模块以及RDP日志生成模块;其中,所述IP数据转发模块负责接收网络中的数据包,并转发经过自身处理的数据包;所述RDP处理模块负责获取RDP会话数据传输过程中的密钥信息,并对密文数据进行解密;所述RDP日志生成模块根据一定的规则和数据格式生成RDP会话日志,该发明极大较少了系统资源开销和处理时间,但该方法只能采集登录成功后的数据信息,对于登录成功前的数据无法进行收集,使得登录不成功的用户信息无法被收集,不便于对用户后续行为进行分析。
中国专利文献CN101848214B公开了一种基于RDP审计数据的任意定位回放方法及系统,包括RDP审计数据服务端及RDP回放客户端;RDP审计数据服务端包括:RDP代理服务器和审计数据服务器;RDP回放客户端包括:审计数据客户端、RDP解码模块、压缩模块、RDP定位模块、RDP回放模块和RDP回放介面模块。本发明能实现了RDP的审计回放,任意定位回放,对超长审计内容也能迅速定位,但该方法中可对远程登录连接成功后的用户数据进行收集分析,对于一些恶意登录且登录失败的用户无法收集数据信息,进而也无法分析后续行为。
发明内容
针对上述现有技术中存在的问题,本发明公布了一种获取远程连接凭证的方法,本发明通过使客户端凭证登录验证过程保持通过,从而获取客户端发送的哈希密码数据,解决了现有技术中无法对远程登录连接前的数据进行处理的问题,便于分析用户后续行为,为后期用户甄别提供保障。
客户端(Client)或称为用户端,是指与服务器相对应,为客户提供本地服务的程序,除了一些只在本地运行的应用程序之外,一般安装在普通的客户机上,需要与服务端互相配合运行。服务端是为客户端服务的,服务的内容诸如向客户端提供资源,保存客户端数据。远程登录(rlogin)是一个UNIX命令,它允许授权用户进入网络中的其它UNIX机器并且就像用户在现场操作一样。一旦进入主机,用户可以操作主机允许的任何事情,通过远程登录,本地计算机便能与网络上另一远程计算机取得“联系”,并进行程序交互
本发明所公开的具体的技术方案如下:一种获取远程连接凭证的方法,包括如下步骤:
S01.服务端向lsass.exe进程内注入检测程序;
S02.检测程序创建用于处理检测结果的线程A;
S03.服务端提取接收客户端的凭证信息以及客户端的随机数,同时检查协议类型,并对response做出修改;
S04.检查登录类型,依据检查结果判断是否对验证流程进行修改;
S05.当客户端进行网络登录时,记录客户端的密码哈希值,并通知线程A;
S06.线程A得出结果,控制用户远程登录。
该方法中检测程序可判断登录类型,并依据不同登录类型对验证流程进行修改,从而控制用户登录,既保证了服务端的安全,也可以对用户数据进行收集,为后续分析提供数据。
进一步的,所述S03步骤中response的修改方法为:
S0311.在msv1_0模块中找出对应协议的response计算函数,计算出服务器正确的response;
S0312.服务端修改传入函数SpacceptLsamodecontext中的参数,将参数中客户端发送的response,换成计算正确的response,
上述修改方法可使登陆过程中利用正确的response与服务端先建立连接,从而收集用户的数据信息,之后再将用户端的response与正确的response对比,判断是否限制登录。
进一步的,所述S04步骤中的登录类型包括本地登录和网络登录。
进一步的,所述S04步骤中判断方法为当检测结果为网络登录时,修改验证流程;当检测结果不是网络登录时,则还原修改的response,不对验证流程进行修改。
进一步的,所述S05步骤中当客户端进行登录时,通过hook函数中MsvpPasswordValidate来记录客户端的密码哈希值。
进一步的,所述S06步骤中用户远程登录控制方法为:将计算正确的response与客户端发送的response进行对比判断,若参数不一致,对比结果发送线程A处理,使客户端登录失败,并禁止远程输入,若参数一致,使客户端登录成功,并保持远程输入。
进一步的,所述检测程序采用dll注入方式注入至进程内,其他可达到相同注入效果的方式也可采用。
本发明同现有技术相比,具有如下优点:
1)本发明通过注入检测程序,在用户远程登录过程中修改验证流程,使凭证验证时总是通过,从而能在登录用户时获取客户端发送的哈希密码,以便于后续对用户的行为进行分析。
2)本发明中将远程登录和本地登录进行区分,通过检测登录类型决定是否对验证流程进行修改,防止本地登录影响验证过程。
3)本发明即可保证远程登录过程所有数据都被收集,也可防止恶意用户远程登录服务器,通过采集恶意用户的数据信息,后期可快速甄别恶意用户,提高了安全保障。
附图说明
图1是本发明实施例中一种获取远程连接凭证的方法的流程图;
具体实施方式
以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的实施例仅用于说明和解释本发明,并不用于限定本发明。
实施例:
结合图1所示,一种获取远程连接凭证的方法,包括如下步骤:
S01.服务端向lsass.exe进程内注入检测程序;
S02.检测程序创建用于处理检测结果的线程A;
S03.服务端提取接收客户端的凭证信息以及客户端的随机数,同时检查协议类型,并对response做出修改;
S04.检查登录类型,依据检查结果判断是否对验证流程进行修改;
S05.当客户端进行网络登录时,记录客户端的密码哈希值,并通知线程A;
S06.线程A得出结果,控制用户远程登录。
进一步的,所述S03步骤中response的修改方法为:
S0311.在msv1_0模块中找出对应协议的response计算函数,计算出服务器正确的response;
S0312.服务端修改传入函数SpacceptLsamodecontext中的参数,将参数中客户端发送的response,换成计算正确的response。
进一步的,所述S04步骤中的登录类型包括本地登录和网络登录。
进一步的,所述S04步骤中判断方法为当检测结果为网络登录时,修改验证流程;当检测结果不是网络登录时,则还原修改的response,不对验证流程进行修改。
进一步的,所述S05步骤中当客户端进行登录时,通过hook函数中MsvpPasswordValidate来记录客户端的密码哈希值。
进一步的,所述S06步骤中用户远程登录控制方法为:将计算正确的response与客户端发送的response进行对比判断,若参数不一致,对比结果发送线程A处理,使客户端登录失败,并禁止远程输入,若参数一致,使客户端登录成功,并保持远程输入。
进一步的,所述检测程序采用dll注入方式注入至进程内,其他可达到相同注入效果的方式也可采用。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均包含在本发明的保护范围之内。

Claims (8)

1.一种获取远程连接凭证的方法,其特征在于,包括如下步骤:
S01.服务端向lsass.exe进程内注入检测程序;
S02.检测程序创建用于处理检测结果的线程A;
S03.服务端提取接收客户端的凭证信息以及客户端的随机数,同时检查协议类型,并对response做出修改;
S04.检查登录类型,依据检查结果判断是否对验证流程进行修改;
S05.当客户端进行网络登录时,记录客户端的密码哈希值,并通知线程A;
S06.线程A得出结果,控制用户远程登录。
2.根据权利要求1所述的一种获取远程连接凭证的方法,其特征在于,所述S03步骤中response的修改方法为:
S0311.在msv1_0模块中找出对应协议的response计算函数,计算出服务器正确的response;
S0312.服务端修改传入函数SpacceptLsamodecontext中的参数,将参数中客户端发送的response,换成计算正确的response。
3.根据权利要求2所述的一种获取远程连接凭证的方法,其特征为:所述S04步骤中的登录类型包括本地登录和网络登录。
4.根据权利要求3所述的一种获取远程连接凭证的方法,其特征为:所述S04步骤中判断方法为当检测结果为网络登录时,修改验证流程;当检测结果不是网络登录时,则还原修改的response,不对验证流程进行修改。
5.根据权利要求4所述的一种获取远程连接凭证的方法,其特征为:所述S05步骤中当客户端进行登录时,通过调用hook函数中MsvpPasswordValidate来记录客户端的密码哈希值。
6.根据权利要求5所述的一种获取远程连接凭证的方法,其特征为:所述S06步骤中用户远程登录控制方法为:将计算正确的response与客户端发送的response进行对比判断,若参数不一致,对比结果发送线程A处理,使客户端登录失败,并禁止远程输入,若参数一致,使客户端登录成功,并保持远程输入。
7.根据权利要求6所述的一种获取远程连接凭证的方法,其特征为:所述协议类型包括LMNT协议、LM协议或NT协议。
8.根据权利要求7所述的一种获取远程连接凭证的方法,其特征为:所述检测程序采用dll注入方式注入至进程内。
CN202010348519.4A 2020-04-28 2020-04-28 一种获取远程连接凭证的方法 Active CN111586124B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010348519.4A CN111586124B (zh) 2020-04-28 2020-04-28 一种获取远程连接凭证的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010348519.4A CN111586124B (zh) 2020-04-28 2020-04-28 一种获取远程连接凭证的方法

Publications (2)

Publication Number Publication Date
CN111586124A true CN111586124A (zh) 2020-08-25
CN111586124B CN111586124B (zh) 2020-12-18

Family

ID=72124559

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010348519.4A Active CN111586124B (zh) 2020-04-28 2020-04-28 一种获取远程连接凭证的方法

Country Status (1)

Country Link
CN (1) CN111586124B (zh)

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050249124A1 (en) * 2004-05-10 2005-11-10 Alcatel Remote access link fault indication mechanism
CN101534568A (zh) * 2009-04-24 2009-09-16 中国科学院计算技术研究所 Lte系统用户设备的连接建立装置和方法
CN101815091A (zh) * 2010-03-12 2010-08-25 薛明 密码提供设备、密码认证系统和密码认证方法
US20100333167A1 (en) * 2009-06-29 2010-12-30 International Business Machines Corporation Adaptive Rule Loading and Session Control for Securing Network Delivered Services
CN103023906A (zh) * 2012-12-20 2013-04-03 北京奇虎科技有限公司 针对远程过程调用协议进行状态跟踪的方法及系统
CN104363245A (zh) * 2014-11-28 2015-02-18 上海斐讯数据通信技术有限公司 一种基于telnet 协议的远程登录系统及方法
US20160007321A1 (en) * 2011-03-17 2016-01-07 Qualcomm Incorporated Target cell selection for multimedia broadcast multicast service continuity
CN107609362A (zh) * 2017-10-19 2018-01-19 飞天诚信科技股份有限公司 一种智能卡登录Windows系统的方法及私有凭据提供装置
CN110659467A (zh) * 2019-09-29 2020-01-07 浪潮(北京)电子信息产业有限公司 一种远程用户身份认证方法、装置、系统、终端及服务器
CN110784460A (zh) * 2019-10-23 2020-02-11 国家计算机网络与信息安全管理中心 一种通话攻击检测方法、装置及可读存储介质
CN110995422A (zh) * 2019-11-29 2020-04-10 深信服科技股份有限公司 一种数据分析方法、系统、设备及计算机可读存储介质

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050249124A1 (en) * 2004-05-10 2005-11-10 Alcatel Remote access link fault indication mechanism
CN101534568A (zh) * 2009-04-24 2009-09-16 中国科学院计算技术研究所 Lte系统用户设备的连接建立装置和方法
US20100333167A1 (en) * 2009-06-29 2010-12-30 International Business Machines Corporation Adaptive Rule Loading and Session Control for Securing Network Delivered Services
CN101815091A (zh) * 2010-03-12 2010-08-25 薛明 密码提供设备、密码认证系统和密码认证方法
US20160007321A1 (en) * 2011-03-17 2016-01-07 Qualcomm Incorporated Target cell selection for multimedia broadcast multicast service continuity
CN103023906A (zh) * 2012-12-20 2013-04-03 北京奇虎科技有限公司 针对远程过程调用协议进行状态跟踪的方法及系统
CN104363245A (zh) * 2014-11-28 2015-02-18 上海斐讯数据通信技术有限公司 一种基于telnet 协议的远程登录系统及方法
CN107609362A (zh) * 2017-10-19 2018-01-19 飞天诚信科技股份有限公司 一种智能卡登录Windows系统的方法及私有凭据提供装置
CN110659467A (zh) * 2019-09-29 2020-01-07 浪潮(北京)电子信息产业有限公司 一种远程用户身份认证方法、装置、系统、终端及服务器
CN110784460A (zh) * 2019-10-23 2020-02-11 国家计算机网络与信息安全管理中心 一种通话攻击检测方法、装置及可读存储介质
CN110995422A (zh) * 2019-11-29 2020-04-10 深信服科技股份有限公司 一种数据分析方法、系统、设备及计算机可读存储介质

Also Published As

Publication number Publication date
CN111586124B (zh) 2020-12-18

Similar Documents

Publication Publication Date Title
US11252140B2 (en) Systems and methods for securely calling APIs on an API gateway from applications needing first party authentication
KR100331525B1 (ko) 사용자 인증 시스템 및 그 방법
CN107122674B (zh) 一种应用于运维审计系统的oracle数据库的访问方法
US8869258B2 (en) Facilitating token request troubleshooting
CN107948204A (zh) 一键登录方法及系统、相关设备以及计算机可读存储介质
US7134140B2 (en) Token-based authentication for network connection
US11770385B2 (en) Systems and methods for malicious client detection through property analysis
CN109391615A (zh) 一种服务器免密登录方法及系统
JP2008181310A (ja) 認証サーバおよび認証プログラム
CN113225351B (zh) 一种请求处理方法、装置、存储介质及电子设备
CN112838951B (zh) 一种终端设备的运维方法、装置、系统及存储介质
US7917941B2 (en) System and method for providing physical web security using IP addresses
CN111586124B (zh) 一种获取远程连接凭证的方法
CN111245791B (zh) 一种通过反向代理实现管理和it服务的单点登录方法
CN112398787B (zh) 邮箱登录验证的方法、装置、计算机设备及存储介质
CN112560102A (zh) 资源共享、访问方法、设备及计算机可读存储介质
CN113760436B (zh) 基于二维码的云主机远程登录系统和方法
US20080022004A1 (en) Method And System For Providing Resources By Using Virtual Path
CN111131152B (zh) 一种跨平台的远程登录防护系统的自动化验证方法及系统
CN115664686A (zh) 一种登录方法、装置、计算机设备和存储介质
CN115801293A (zh) 一种访问控制的安全检测方法、设备及装置
CN108494731B (zh) 一种基于双向身份认证的抗网络扫描方法
CN112104630B (zh) 网站一键关闭方法、装置、计算机设备及存储介质
Kuosmanen Security Testing of WebSockets
US11762755B2 (en) Systems and methods for non-human account tracking

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
PE01 Entry into force of the registration of the contract for pledge of patent right
PE01 Entry into force of the registration of the contract for pledge of patent right

Denomination of invention: A Method for Obtaining Remote Connection Credentials

Effective date of registration: 20230515

Granted publication date: 20201218

Pledgee: Bank of China Limited by Share Ltd. Guangzhou Tianhe branch

Pledgor: GUANGZHOU JEESEEN NETWORK TECHNOLOGIES Co.,Ltd.

Registration number: Y2023980040584