[发明专利]一种基于RDP协议分析获取目标设备信息的方法

权利要求书

1.一种基于RDP协议分析获取目标设备信息的方法，其特征在于，包括：

步骤1、本地主机通过网络向目标主机发送Client Hello消息，用于发起TLS连接握手；

步骤2、目标主机接收到Client Hello消息之后，响应于Client Hello消息，表示自己同意建立TLS连接握手，接着再响应Certificate消息；

步骤3、本地主机接收所述Certificate消息，根据消息格式从中提取TLS证书信息；

步骤4、本地主机和目标主机之间建立TLS连接；

步骤5、本地主机发送Cred SSP认证请求到目标主机，用于触发目标主机响应NTLMSSPChallenge消息；

步骤6、目标主机接收到Cred SSP认证请求后，响应NTLMSSP Challenge消息；

步骤7、本地主机解析NTLMSSP Challenge消息并从中获取目标设备信息。

2.根据权利要求1所述的一种基于RDP协议分析获取目标设备信息的方法，其特征在于，所述步骤1中，所述本地主机通过网络远程连接到另一端的目标主机，所述的目标主机为运行有RDP协议的计算机或RDP服务器。

3.根据权利要求1所述的一种基于RDP协议分析获取目标设备信息的方法，其特征在于，所述步骤3、本地主机接收所述的Certificate响应消息，根据消息格式从中提取TLS证书信息，所述证书信息包括：证书的证书颁发者issuer和证书主体subject信息。

4.根据权利要求1所述的一种基于RDP协议分析获取目标设备信息的方法，其特征在于，所述步骤4、本地主机和目标主机之间建立TLS连接，具体包括：

本地主机发送携带一个随机生成的密钥的Client Key Exchange消息给目标主机，该密钥用于后续的通信加密，至此，TLS连接建立完成。

5.根据权利要求1所述的一种基于RDP协议分析获取目标设备信息的方法，其特征在于，所述步骤6、目标主机接收到Cred SSP认证请求后，响应NTLMSSP Challenge消息，该NTLMSSP Challenge消息里面至少包括目标主机的主机名、目标主机所在域、操作系统版本。

6.根据权利要求1所述的一种基于RDP协议分析获取目标设备信息的方法，其特征在于，所述步骤7、本地主机解析NTLMSSP Challenge消息并从中获取目标设备信息包括，目标主机名、操作系统，并识别和获取该NTLMSSP Challenge消息里面包含的NetBIOS域名、NetBIOS计算机名称、DNS域名、DNS计算机名、MsvAvDNS树名称。

7.根据权利要求1所述的一种基于RDP协议分析获取目标设备信息的方法，其特征在于，还包括：步骤8、本地主机模拟正常的登录请求，具体包括：

在远程桌面登录请求中，本地主机与远程的目标主机会进行多次协商，本地主机声明其需要的信道，再申请加入信道，远程的目标主机响应是否申请成功；双方完成协商过程后，再进行实际的数据传输。

8.根据权利要求1所述的一种基于RDP协议分析获取目标设备信息的方法，其特征在于，还包括：

步骤9、目标主机响应本地主机模拟正常的登录请求，像本地主机传输登录界面图片流。

9.根据权利要求8所述的一种基于RDP协议分析获取目标设备信息的方法，其特征在于，步骤9、目标主机响应登录界面图片流，具体包括：

目标主机将返回Bitmap格式的图片流，本地主机解析其获取到的Bitmap格式图片流，并将其保存完成截图操作在RDP截图后通过图像识别功能识别登录界面上的用户列表，收集账号信息。

10.根据权利要求9所述的一种基于RDP协议分析获取目标设备信息的方法，其特征在于，还包括：

识别登录界面上的关机按钮，判断该目标是否有被任意用户关掉机器的风险。