[发明专利]一种windows系统下的录屏方法

权利要求书

1.一种windows系统下的录屏方法，其特征在于，包括如下步骤：

在被监测的windows系统主机的Linux网关部署rdp replay，在所述Linux网关安装pf_ring；

通过pfring_enable_ring开启pf_ring数据抓取；

实时抓取流量包：通过pf_ring实时抓取流量包；

数据解析：对抓取的所述流量包进行解析，把pf_ring抓取到的流量包解析成为rdp数据传输给libfreerdp，获取到屏幕绘制所需要的数据；

流量检测：Linux网关检测该流量是蜜罐流量还是客户端流量，如果是客户端流量，则执行屏幕绘制步骤；如果是蜜罐流量，则调用libfreerdp中的ServerRecv进行处理，并返回实时抓取流量包步骤；

所述Linux网关检测该流量是蜜罐流量还是客户端流量包括如下步骤：

Linux网关根据记录的客户端请求建立TCP连接时发送的TCP报文中的SYN标志位进行判断，如果第一条消息是由客户端发起的，且SYN=1，则认为该流量是客户端流量，否则为蜜罐流量；

屏幕绘制：调用rdp协议库函数进行屏幕绘制；

重复实时抓取流量包至屏幕绘制步骤，至录屏结束。

2.根据权利要求1所述的windows系统下的录屏方法，其特征在于，实现所述实时抓取流量包的函数还包括pf_ring中的如下函数：pfring_open、pfring_set_direction、pfring_set_bpf_filter和pfring_recv。

3.根据权利要求1所述的windows系统下的录屏方法，其特征在于，所述rdp协议库函数为libfreerdp中rdp协议解析及屏幕绘制库函数ClientRecv。

4.根据权利要求1所述的windows系统下的录屏方法，其特征在于，所述数据解析包括以下步骤：

流量包解析：pf_ring调用pf_ring解析函数对抓取的流量包进行解析，获取到TCP/IP层数据； TCP/IP层数据解析：调用TCP/IP解析函数解析获取到的TCP/IP层数据，获取到应用层数据；应用层数据解析：调用libfreerdp解析函数解析应用层数据，获取到屏幕绘制所需要的数据。

5.根据权利要求1所述的windows系统下的录屏方法，其特征在于，所述屏幕绘制所需的数据包括如下信息：屏幕大小、屏幕颜色及深度、光标位置与形状以及GDI绘制所需的上下文数据。