[发明专利]一种windows系统下的录屏方法

说明书

本发明提供了一种windows系统下的录屏方法，属于网络安全领域。本发明采用pf_ring对实时流量进行抓包，并进行解析，获取TCP/IP层数据包，再调用解析函数进行解析，获取应用层数据包，然后调用rdp replay中的rdp协议解析库libfreerdp解析应用层数据，再调用rdp协议库函数进行屏幕绘制，通过重复上述步骤，可以实现攻击行为的实时录屏。本发明采用pf_ring进行实时流量抓包，提高了抓包性能，实现了windows系统下的实时录屏。

技术领域

本发明涉及网络安全领域，尤其涉及一种windows系统下的录屏方法。

背景技术

随着互联网的发展，网络安全成为人们越来越关注的问题，而对网络攻击行为的收集和分析，则是其中重要的一个环节。在网络安全领域中，蜜罐是网络安全人员熟知的网络攻击检测技术，其实质是通过布置一些作为诱饵的主机、网络服务或者信息，也就是作为网络安全中的一种入侵诱饵，诱使攻击方对它们实施攻击，捕获黑客相关的证据和信息，从而可以对攻击行为进行分析。

windows系统的蜜罐一般只抓取系统的行为，如文件、命令行等，对于这种数据需要做一定的分析，可以大概判断攻击者的攻击意图。为了更好的直观展示攻击者的操作，蜜罐系统中通过录屏进行网络攻击行为的收集，并通过录屏回放进行攻击行为分析是目前常用的方法。改进版windows系统的蜜罐中，通过windows系统API(Application ProgrammingInterface)应用程序编程接口，定时截屏并发送到后端，通过图片转视频技术，达到直观展示攻击者的效果，并通过视频回放进行攻击行为分析。

中国专利文献CN108681428A中，公开了一种windows系统下的滚动截屏方法，包括以下步骤：S100：判断截屏界面的应用程序是否采用硬件加速，如果是，执行步骤S200，否则，执行步骤S300；S200：获取屏幕位图信息；S300：获取应用程序的界面位图信息；S400：获取滚动截屏的起始图片及第一屏幕缓存图片；S500：设置图片偏移位置为所述起始图片高度的1/N且所述高度的图片包含所述应用程序的界面的头部固定图片，其中，N为大于1的自然数；S600：控制滚动条滚动；S700：计算图片偏移位置；S800：拼接图片；S900：将所述步骤S800中拼接的图片保存到文件中，完成滚动截屏。其中，都是利用windows API获取当前区域的窗口的句柄信息、利用windows API获取当前窗口句柄的图片，亦或利用windows API，以获取需要截屏的区域相对于windows桌面的相对位置，进而协助完成滚动截屏。

中国专利文献CN104850407A中，公开了一种桌面录屏系统的录屏方法，其特征在于，包括以下步骤：第一步，当用户在计算机上操作事件时，事件触发；第二步，触发钩子捕捉触发点，并生成事件触发日志；第三步，由录屏收集模块对监测计算机抓屏，然后对抓屏图像进行视频编码，生成视频文件。其中录屏收集模块，定时对监测计算机进行抓屏，并将抓屏数据发给数据存储模块。进一步的，该录屏收集模块，采用windows API应用程序编程接口定时对监测计算机抓屏；并且，该录屏收集模块对抓屏图像进行视频编码，定时生成视频文件。该申请文件也是采用windows API进行截屏。

现有技术至少存在以下不足：

1.采用window API截屏，如果定时过短，则系统资源消耗过高，比如CPU过高容易导致系统卡死，也容易被攻击者发现。如果定时过长，则转化后的视频并不完整，有可能缺少重要操作视频，而给攻击行为分析带来严重偏差。

2.采用window API截屏，需要在windows蜜罐系统内安装截屏的agent，容易被攻击者发现。

发明内容