一種基于遠(yuǎn)程控制系統(tǒng)獲取遠(yuǎn)程數(shù)據(jù)的方法
【專利摘要】本發(fā)明提供一種基于遠(yuǎn)程控制系統(tǒng)獲取遠(yuǎn)程數(shù)據(jù)的方法,所述遠(yuǎn)程控制系統(tǒng)包括客戶端����、服務(wù)端、遠(yuǎn)程控制程序模塊�����、網(wǎng)絡(luò)載體��、遠(yuǎn)程植入程序模塊和遠(yuǎn)程配置程序模塊���;所述遠(yuǎn)程控制程序模塊用于遠(yuǎn)程控制服務(wù)端���,所述遠(yuǎn)程植入程序模塊用于潛入服務(wù)端內(nèi)部,獲取其操作權(quán)限�����,所述遠(yuǎn)程配置程序模塊用于設(shè)置遠(yuǎn)程控制程序模塊的參數(shù)�����,該參數(shù)包括遠(yuǎn)程控制程序模塊的端口號(hào)、觸發(fā)條件和遠(yuǎn)程控制軟件名稱����。本發(fā)明利用虛擬IP達(dá)到隱藏自身的效果,并通過連接反彈��、端口復(fù)用和進(jìn)程注入等技術(shù)提高隱身效果��,有效提高公安機(jī)關(guān)的取證效率�����,同時(shí)本發(fā)明在獲取數(shù)據(jù)后自動(dòng)刪除存儲(chǔ)在服務(wù)端的數(shù)據(jù)����,只收集需要的內(nèi)容���,危害范圍小�����。
【專利說明】一種基于遠(yuǎn)程控制系統(tǒng)獲取遠(yuǎn)程數(shù)據(jù)的方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及一種數(shù)據(jù)獲取方法���,特別是涉及一種基于遠(yuǎn)程控制系統(tǒng)獲取遠(yuǎn)程數(shù)據(jù) 的方法�。
【背景技術(shù)】
[0002] 在公安網(wǎng)警針對(duì)特定犯罪嫌疑人進(jìn)行監(jiān)控和進(jìn)一步取證的時(shí)候��,需要更為強(qiáng)而有 效的方式�����。因此���,如何通過網(wǎng)絡(luò)和對(duì)方pc進(jìn)一步取證是當(dāng)前公安機(jī)關(guān)正著力解決的一大課 題����。充分利用網(wǎng)絡(luò)資源��,有效的��、迅速的獲取該P(yáng)C的全部信息�����,從而幫助網(wǎng)警進(jìn)一步取證�, 成為現(xiàn)階段的發(fā)展趨勢(shì)。以太網(wǎng)流量在以前只是實(shí)時(shí)解析或者事后排查��,無法再現(xiàn)一些實(shí) 際的問題���,只能根據(jù)分析存儲(chǔ)的數(shù)據(jù)包做出應(yīng)對(duì)方案�����,而有些問題���,例如特殊數(shù)據(jù)包并非一 下子就出現(xiàn)����,無法定位解決問題和對(duì)問題實(shí)現(xiàn)跟蹤處理���。
【發(fā)明內(nèi)容】
[0003] 本發(fā)明要解決的技術(shù)問題����,在于提供一種基于遠(yuǎn)程控制系統(tǒng)獲取遠(yuǎn)程數(shù)據(jù)的方 法�。
[0004] 本發(fā)明是這樣實(shí)現(xiàn)的:一種基于遠(yuǎn)程控制系統(tǒng)獲取遠(yuǎn)程數(shù)據(jù)的方法���,所述遠(yuǎn)程控 制系統(tǒng)包括客戶端�����、服務(wù)端�、遠(yuǎn)程控制程序模塊、網(wǎng)絡(luò)載體���、遠(yuǎn)程植入程序模塊和遠(yuǎn)程配置 程序模塊��;
[0005] 所述客戶端為遠(yuǎn)程控制的控制方��,所述服務(wù)端為遠(yuǎn)程控制的被控方����,所述網(wǎng)絡(luò)載 體用于實(shí)現(xiàn)客戶端和服務(wù)端間的數(shù)據(jù)傳輸����,所述遠(yuǎn)程控制程序模塊用于遠(yuǎn)程控制服務(wù)端; [0006] 所述遠(yuǎn)程植入程序模塊用于潛入服務(wù)端內(nèi)部����,獲取其操作權(quán)限,所述遠(yuǎn)程配置程 序模塊用于設(shè)置遠(yuǎn)程控制程序模塊的參數(shù)����;
[0007] 所述方法具體包括如下步驟:
[0008] 步驟1、遠(yuǎn)程配置程序模塊配置遠(yuǎn)程控制程序模塊的參數(shù)�;
[0009] 步驟2、遠(yuǎn)程植入程序模塊利用服務(wù)端存在的漏洞將遠(yuǎn)程控制程序模塊植入服務(wù) 端,并通過隱藏技術(shù)隱藏自身��;
[0010] 步驟3、服務(wù)端運(yùn)行遠(yuǎn)程控制程序模塊�,服務(wù)端主動(dòng)發(fā)送請(qǐng)求到客戶端;
[0011] 步驟4���、客戶端接收到服務(wù)端的請(qǐng)求����,獲得使用該服務(wù)端的權(quán)限���,并向服務(wù)端發(fā)出 控制命令�����;
[0012] 步驟5�����、服務(wù)端接收到由客戶端發(fā)出的控制命令���,并執(zhí)行該命令�;
[0013] 步驟6、客戶端通過遠(yuǎn)程控制程序模塊截取到的數(shù)據(jù)在服務(wù)端上暫存一段時(shí)間��,并 開始向服務(wù)器內(nèi)置的一組IP地址發(fā)送加密的數(shù)據(jù)包���;
[0014] 步驟7�、客戶端接收數(shù)據(jù)包,并進(jìn)行解密和拼裝��,完成數(shù)據(jù)傳輸�����。
[0015] 進(jìn)一步的��,所述遠(yuǎn)程控制軟件名稱包括隱藏端口�����、隱藏通信和隱藏進(jìn)程。
[0016] 進(jìn)一步的�,所述參數(shù)包括遠(yuǎn)程控制程序模塊的端口號(hào)、觸發(fā)條件和遠(yuǎn)程控制軟件 名稱����。
[0017] 進(jìn)一步的,所述網(wǎng)絡(luò)載體為Internet TCP/IP網(wǎng)絡(luò)�。
[0018] 進(jìn)一步的,所述步驟2中的隱藏技術(shù)包括反彈連接�����、端口復(fù)用和進(jìn)程注入技術(shù)�����,其 中�,反彈連接用于協(xié)助穿透防火墻,端口復(fù)用是使用和服務(wù)端開放端口一致的端口進(jìn)行通 信��,進(jìn)程注入是指將遠(yuǎn)程控制程序模塊注入到運(yùn)行的進(jìn)程中�����,該進(jìn)程包括IE進(jìn)程���、輸入法 進(jìn)程和QQ進(jìn)程�。
[0019] 進(jìn)一步的����,所述步驟3中的權(quán)限包括下載、上傳和鍵盤記錄�。
[0020] 進(jìn)一步的,所述步驟5中的控制命令包括下載文件命令�、運(yùn)行文件命令、刪除文件 命令或重啟命令�����。
[0021] 進(jìn)一步的��,所述步驟6中時(shí)間的長(zhǎng)短由客戶端控制����。
[0022] 進(jìn)一步的,所述步驟7完成數(shù)據(jù)傳輸后�,自動(dòng)刪除遠(yuǎn)程控制軟件截取的數(shù)據(jù)�。
[0023] 本發(fā)明具有如下優(yōu)點(diǎn):本發(fā)明利用虛擬IP達(dá)到隱藏自身的效果��,并通過連接反 彈����、端口復(fù)用和進(jìn)程注入等技術(shù)提高隱身效果,有效提高公安機(jī)關(guān)的取證效率�,同時(shí)本發(fā)明 在獲取數(shù)據(jù)后自動(dòng)刪除存儲(chǔ)在服務(wù)端的數(shù)據(jù),只收集需要的內(nèi)容�,危害范圍小。
【專利附圖】
【附圖說明】
[0024] 下面參照附圖結(jié)合實(shí)施例對(duì)本發(fā)明作進(jìn)一步的說明��。
[0025] 圖1為本發(fā)明執(zhí)行流程圖�����。
【具體實(shí)施方式】
[0026] 一種基于遠(yuǎn)程控制系統(tǒng)獲取遠(yuǎn)程數(shù)據(jù)的方法����,所述遠(yuǎn)程控制系統(tǒng)包括客戶端、月艮 務(wù)端�、遠(yuǎn)程控制程序模塊、網(wǎng)絡(luò)載體�、遠(yuǎn)程植入程序模塊和遠(yuǎn)程配置程序模塊,所述網(wǎng)絡(luò)載 體為TCP/IP網(wǎng)絡(luò)�;
[0027] 所述客戶端為遠(yuǎn)程控制的控制方���,所述服務(wù)端為遠(yuǎn)程控制的被控方,即目標(biāo)對(duì)象 的電腦�����,所述網(wǎng)絡(luò)載體用于實(shí)現(xiàn)客戶端和服務(wù)端間的數(shù)據(jù)傳輸�,所述遠(yuǎn)程控制程序模塊用 于遠(yuǎn)程控制服務(wù)端���;
[0028] 所述遠(yuǎn)程植入程序模塊用于潛入服務(wù)端內(nèi)部����,獲取其操作權(quán)限����,所述遠(yuǎn)程配置程 序模塊用于設(shè)置遠(yuǎn)程控制程序模塊的參數(shù),該參數(shù)包括遠(yuǎn)程控制程序模塊的端口號(hào)���、觸發(fā) 條件和遠(yuǎn)程控制軟件名稱�����,所述遠(yuǎn)程控制軟件名稱包括隱藏端口���、隱藏通信和隱藏進(jìn)程��;
[0029] 圖1為本發(fā)明的執(zhí)行流程圖�,該流程圖表示植入遠(yuǎn)程控制軟件的服務(wù)端自動(dòng)連接 客戶端����,客戶端接受連接后向服務(wù)端發(fā)出請(qǐng)求數(shù)據(jù),服務(wù)端處理該請(qǐng)求并返回相應(yīng)的數(shù)據(jù)��, 數(shù)據(jù)傳輸完畢��。
[0030] 該方法實(shí)現(xiàn)步驟如下:
[0031] 步驟1����、遠(yuǎn)程配置程序模塊配置遠(yuǎn)程控制程序模塊的參數(shù),如設(shè)置客戶端的端口號(hào) 為80����、自動(dòng)回傳后綴名為.doc的文件以及截屏?xí)r間間隔為30秒/次;
[0032] 步驟2�、遠(yuǎn)程植入程序模塊利用服務(wù)端存在的漏洞將遠(yuǎn)程控制程序模塊植入服務(wù) 端,并通過隱藏技術(shù)隱藏自身���,所述隱藏技術(shù)包括反彈連接����、端口復(fù)用和進(jìn)程注入技術(shù),其 中��,反彈連接用于協(xié)助穿透防火墻���,端口復(fù)用是使用和服務(wù)端開放端口一致的端口進(jìn)行通 信���,進(jìn)程注入是指將遠(yuǎn)程控制程序模塊注入到運(yùn)行的進(jìn)程中��,該進(jìn)程包括IE進(jìn)程�����、輸入法 進(jìn)程和QQ進(jìn)程等其他任意運(yùn)行中的進(jìn)程��;
[0033] 步驟3��、服務(wù)端運(yùn)行遠(yuǎn)程控制程序模塊��,服務(wù)端主動(dòng)發(fā)送請(qǐng)求到客戶端�;
[0034] 步驟4、客戶端接收到服務(wù)端的請(qǐng)求��,獲得使用該服務(wù)端的權(quán)限,該權(quán)限包括下載�、 上傳和鍵盤記錄,并向服務(wù)端發(fā)出控制命令���;
[0035] 步驟5����、服務(wù)端接收到由客戶端發(fā)出的控制命令并執(zhí)行該命令��,所述控制命令包括 下載文件命令�����、運(yùn)行文件命令�、刪除文件命令或重啟命令;
[0036] 步驟6�、客戶端通過遠(yuǎn)程控制程序模塊截取到的數(shù)據(jù)在服務(wù)端上暫存一段時(shí)間,該 時(shí)間的長(zhǎng)短可以由客戶端控制���,并開始向服務(wù)器內(nèi)置的一組IP地址發(fā)送加密的數(shù)據(jù)包�����,如 服務(wù)端向40. 40. 40. 1至40. 40. 40. 255這組IP地址發(fā)送以1111結(jié)尾的有特征的數(shù)據(jù)包��;
[0037] 步驟7��、客戶端接收數(shù)據(jù)包�,并進(jìn)行解密和拼裝,完成數(shù)據(jù)傳輸后自動(dòng)刪除遠(yuǎn)程控 制軟件截取的數(shù)據(jù)���。
[〇〇38] 雖然以上描述了本發(fā)明的【具體實(shí)施方式】���,但是熟悉本【技術(shù)領(lǐng)域】的技術(shù)人員應(yīng)當(dāng)理 解,我們所描述的具體的實(shí)施例只是說明性的�,而不是用于對(duì)本發(fā)明的范圍的限定,熟悉本 領(lǐng)域的技術(shù)人員在依照本發(fā)明的精神所作的等效的修飾以及變化�����,都應(yīng)當(dāng)涵蓋在本發(fā)明的 權(quán)利要求所保護(hù)的范圍內(nèi)���。
【權(quán)利要求】
1. 一種基于遠(yuǎn)程控制系統(tǒng)獲取遠(yuǎn)程數(shù)據(jù)的方法,所述遠(yuǎn)程控制系統(tǒng)包括客戶端���、服務(wù) 端�、遠(yuǎn)程控制程序模塊和網(wǎng)絡(luò)載體���,其特征在于:所述遠(yuǎn)程控制系統(tǒng)還包括遠(yuǎn)程植入程序模 塊和遠(yuǎn)程配置程序模塊�����; 所述客戶端為遠(yuǎn)程控制的控制方��,所述服務(wù)端為遠(yuǎn)程控制的被控方���,所述網(wǎng)絡(luò)載體用 于實(shí)現(xiàn)客戶端和服務(wù)端間的數(shù)據(jù)傳輸���,所述遠(yuǎn)程控制程序模塊用于遠(yuǎn)程控制服務(wù)端; 所述遠(yuǎn)程植入程序模塊用于潛入服務(wù)端內(nèi)部���,獲取其操作權(quán)限��,所述遠(yuǎn)程配置程序模 塊用于設(shè)置遠(yuǎn)程控制程序模塊的參數(shù)����; 所述方法具體包括如下步驟: 步驟1�����、遠(yuǎn)程配置程序模塊配置遠(yuǎn)程控制程序模塊的參數(shù); 步驟2�����、遠(yuǎn)程植入程序模塊利用服務(wù)端存在的漏洞將遠(yuǎn)程控制程序模塊植入服務(wù)端��,并 通過隱藏技術(shù)隱藏自身�����; 步驟3�、服務(wù)端運(yùn)行遠(yuǎn)程控制程序模塊,服務(wù)端主動(dòng)發(fā)送請(qǐng)求到客戶端���; 步驟4�����、客戶端接收到服務(wù)端的請(qǐng)求,獲得使用該服務(wù)端的權(quán)限�,并向服務(wù)端發(fā)出控制 命令; 步驟5��、服務(wù)端接收到由客戶端發(fā)出的控制命令����,并執(zhí)行該命令����; 步驟6���、客戶端通過遠(yuǎn)程控制程序模塊截取到的數(shù)據(jù)在服務(wù)端上暫存一段時(shí)間����,并開始 向服務(wù)器內(nèi)置的一組IP地址發(fā)送加密的數(shù)據(jù)包��; 步驟7�、客戶端接收數(shù)據(jù)包,并進(jìn)行解密和拼裝�,完成數(shù)據(jù)傳輸。
2. 根據(jù)權(quán)利要求1所述的一種基于遠(yuǎn)程控制系統(tǒng)獲取遠(yuǎn)程數(shù)據(jù)的方法�����,其特征在于: 所述參數(shù)包括遠(yuǎn)程控制程序模塊的端口號(hào)����、觸發(fā)條件和遠(yuǎn)程控制軟件名稱。
3. 根據(jù)權(quán)利要求2所述的一種基于遠(yuǎn)程控制系統(tǒng)獲取遠(yuǎn)程數(shù)據(jù)的方法����,其特征在于: 所述遠(yuǎn)程控制軟件名稱包括隱藏端口��、隱藏通信和隱藏進(jìn)程���。
4. 根據(jù)權(quán)利要求1所述的一種基于遠(yuǎn)程控制系統(tǒng)獲取遠(yuǎn)程數(shù)據(jù)的方法,其特征在于: 所述網(wǎng)絡(luò)載體為Internet TCP/IP網(wǎng)絡(luò)��。
5. 根據(jù)權(quán)利要求1所述的一種基于遠(yuǎn)程控制系統(tǒng)獲取遠(yuǎn)程數(shù)據(jù)的方法��,其特征在于: 所述步驟2中的隱藏技術(shù)包括反彈連接��、端口復(fù)用和進(jìn)程注入技術(shù)���,其中�,反彈連接用于協(xié) 助穿透防火墻����,端口復(fù)用是使用和服務(wù)端開放端口 一致的端口進(jìn)行通信,進(jìn)程注入是指將 遠(yuǎn)程控制程序模塊注入到運(yùn)行的進(jìn)程中�,該進(jìn)程包括IE進(jìn)程、輸入法進(jìn)程和QQ進(jìn)程�����。
6. 根據(jù)權(quán)利要求1所述的一種基于遠(yuǎn)程控制系統(tǒng)獲取遠(yuǎn)程數(shù)據(jù)的方法��,其特征在于: 所述步驟3中的權(quán)限包括下載��、上傳和鍵盤記錄����。
7. 根據(jù)權(quán)利要求1所述的一種基于遠(yuǎn)程控制系統(tǒng)獲取遠(yuǎn)程數(shù)據(jù)的方法,其特征在于: 所述步驟5中的控制命令包括下載文件命令�、運(yùn)行文件命令、刪除文件命令或重啟命令�����。
8. 根據(jù)權(quán)利要求1所述的一種基于遠(yuǎn)程控制系統(tǒng)獲取遠(yuǎn)程數(shù)據(jù)的方法����,其特征在于: 所述步驟6中時(shí)間的長(zhǎng)短由客戶端控制。
9. 根據(jù)權(quán)利要求1所述的一種基于遠(yuǎn)程控制系統(tǒng)獲取遠(yuǎn)程數(shù)據(jù)的方法�����,其特征在于: 所述步驟7完成數(shù)據(jù)傳輸后�,自動(dòng)刪除遠(yuǎn)程控制軟件截取的數(shù)據(jù)。
【文檔編號(hào)】H04L29/06GK104104678SQ201410342783
【公開日】2014年10月15日 申請(qǐng)日期:2014年7月18日 優(yōu)先權(quán)日:2014年7月18日
【發(fā)明者】高穩(wěn)仁, 黃文峰, 游建友 申請(qǐng)人:南威軟件股份有限公司