[发明专利]一种远程桌面控制识别的方法和装置

说明书

技术领域

本申请涉及网络信息安全处理的技术领域，特别是涉及一种远程桌面控制识别的方法和一种远程桌面控制识别的装置。

背景技术

远程控制是在网络上由一台电脑(主控端Remote/客户端)远距离去控制另一台电脑(被控端Host/服务器端)的技术，早期的远程控制往往指在局域网中的远程控制，随着互联网的普及和技术革新，现在的远程控制往往指互联网中的远程控制，互联网中的远程控制必须通过网络才能进行。位于本地的计算机是操纵指令的发出端，称为主控端或客户端，非本地的被控计算机叫做被控端或服务器端。“远程”不等同于远距离，主控端和被控端可以是位于同一局域网的同一房间中，也可以是连入Internet的处在任何位置的两台或多台计算机。

远程桌面采用的是一种微软RDP技术，当某台计算机开启了远程桌面控制功能后，就可以在网络的另一端控制这台计算机，通过远程桌面功能可以实时的操作这台计算机，在上面安装软件，运行程序，所有的一切都好像是直接在该计算机上操作一样。这就是远程桌面的最大功能，通过该功能网络管理员可以在家中安全的控制单位的服务器，而且由于该功能是系统内置的所以比其他第三方远程控制工具使用更方便更灵活。

但目前，远程桌面控制功能被一些黑客和不法分子用作木马，来窃取被控端电脑的文件资料和用户个人信息、账户资料等，如冰河木马。为了防止这种木马，各大服务提供商都开始采用数字证书、USB-Key等方式加以控制。但是此类方法有一个缺陷就是数字证书是安装在用户终端上的，一旦用户终端遭到远程控制则用户身份仍然会被冒用，因而，如何识别计算机或用户终端上的远程桌面控制，以提高计算机和各种用户终端应用的安全性，成为本领域技术人员迫切需要解决的问题。

发明内容

本申请的目的是提供一种远程桌面控制识别的方法和装置，用以提高计算机和各种用户终端应用的安全性，成为本领域技术人员迫切需要解决的问题。

为了解决上述问题，本申请公开了一种远程桌面控制识别的方法，包括：

步骤S1，注入不可信进程，对所述不可信进程中的远程桌面控制行为函数进行钩挂HOOK；其中，所述远程桌面控制行为函数包括操作函数和通信函数；

步骤S2，根据所述操作函数判断是否存在远程桌面控制操作，若是，则执行步骤S3；

步骤S3，根据所述通信函数判断是否存在网络通信，若是，则执行步骤S4；

步骤S4，配置所述通信函数按预设时间阻塞网络通信；

步骤S5，判断在所述网络通信阻塞的时间内是否存在远程桌面控制操作，若否，则执行步骤S6；

步骤S6，恢复网络通信，判断是否满足预置的检测次数，若是，则执行步骤S7；若否，则返回步骤S2；

步骤S7，判定当前不可信进程为远程桌面控制进程。

优选地，所述操作函数包括软键盘消息发送函数，软鼠标消息发送函数，以及，屏幕抓取函数，所述远程桌面控制操作包括软键盘消息发送操作，软鼠标消息发送操作，以及，屏幕抓取操作；

所述步骤S2包括：

根据所述软键盘消息发送函数判断是否存在软键盘消息发送操作；

根据所述软鼠标消息发送函数判断是否存在软鼠标消息发送操作；

以及，

根据所述屏幕抓取函数判断是否存在屏幕抓取操作。

优选地，在步骤S 1之前，还包括：

过滤掉可信进程。

优选地，所述的方法，还包括：

若根据所述操作函数判断不存在远程桌面控制操作，则判定当前不可信进程为非远程桌面控制进程；

和/或，

若根据所述操作函数判断存在远程桌面控制操作，且根据所述通信函数判断不存在网络通信，则判定当前不可信进程为非远程桌面控制进程；

和/或，

若在所述网络通信阻塞的时间内存在远程桌面控制操作，则判定当前不可信进程为非远程桌面控制进程。

优选地，所述的方法，还包括：

向用户报告所述远程桌面控制进程；

和/或，

拦截所述远程桌面控制进程。

本申请实施例还公开了一种远程桌面控制识别的装置，包括：

钩挂处理模块，用于注入不可信进程，对所述不可信进程中的远程桌面控制行为函数进行钩挂HOOK；其中，所述远程桌面控制行为函数包括操作函数和通信函数；

远程操作判断模块，用于根据所述操作函数判断是否存在远程桌面控制操作，若是，则调用通信判断模块；