基于HOOK技術(shù)獲取SSH加密內(nèi)容的方法及其應(yīng)用

基本信息

申請(qǐng)?zhí)?/td> CN202110160507.3 申請(qǐng)日 -
公開(kāi)(公告)號(hào) CN112926050A 公開(kāi)(公告)日 2021-06-08
申請(qǐng)公布號(hào) CN112926050A 申請(qǐng)公布日 2021-06-08
分類號(hào) G06F21/52;G06F11/36;H04L29/06;H04L29/08 分類 計(jì)算;推算;計(jì)數(shù);
發(fā)明人 朱賀軍;鄧省三 申請(qǐng)(專利權(quán))人 北京億賽通網(wǎng)絡(luò)安全技術(shù)有限公司
代理機(jī)構(gòu) 北京世譽(yù)鑫誠(chéng)專利代理有限公司 代理人 孫國(guó)棟
地址 100085 北京市海淀區(qū)西二旗大街39號(hào)3層301-1
法律狀態(tài) -

摘要

摘要 本發(fā)明涉及網(wǎng)絡(luò)安全的技術(shù)領(lǐng)域,特別是涉及基于HOOK技術(shù)獲取SSH加密內(nèi)容的方法,通過(guò)追蹤、調(diào)試分析SSH服務(wù)端程序和數(shù)據(jù)庫(kù)客戶端程序?qū)ふ襤ook點(diǎn),通過(guò)所有hook點(diǎn)獲取SSH通信解密后的明文數(shù)據(jù),最后解析數(shù)據(jù)獲取SSH加密過(guò)的用戶操作命令內(nèi)容;分析SSH服務(wù)端程序,使用strace動(dòng)態(tài)追蹤sshd進(jìn)程,找到hook點(diǎn)read函數(shù),發(fā)現(xiàn)僅有部分?jǐn)?shù)據(jù)庫(kù)的數(shù)據(jù)不能捕獲,通過(guò)GDB調(diào)試這些數(shù)據(jù)庫(kù)客戶端程序,找到新的hook點(diǎn)fgets、fwrite等函數(shù);通過(guò)所有hook點(diǎn)獲取并記錄SSH通信解密后內(nèi)容,然后通過(guò)解析數(shù)據(jù)獲取SSH加密內(nèi)容。