window远控软件日志

远控软件分析

todesk日志分析

ToDesk 是一款多平台远程控制软件，支持主流操作系统Windows、Linux、Mac、Android、iOS跨平台协同操作。

默认情况下todesk日志文件保存在安装目录同级目录Logs下，在4.7以前的版本中，目录下有以service为首的文件以及以client为首的文件。其中service文件表示是被别人远控的日志。client文件表示是远控别人的日志。在4.7后的版本含4.7中，目录下不再存在以client为首的文件。

v4.6.2.3 日志目录结构 VS v4.7.0.2 日志目录结构

一、概述

在应急响应过程中不可避免的要分析操作系统日志、数据库日志、应用系统日志，近期在应急过程中需要对远程工具todesk进行分析，现将todesk日志分析结果同步给大家，希望能给大家一些帮助。

todesk、向日葵、anydesk目前都是大家日常办公使用的远程软件，在方便大家办公的同时也方便了攻击者，攻击者可以直接利用todesk类的远程软件直接操作目标主机，绕过防护软件的策略。

二、日志位置

默认情况下todesk日志文件保存在安装目录同级目录Logs下，目录下有service开头的文件以及client开头的文件。

service开头的文件表示的是被别人远控的日志。

client开头的文件表示的是远控别人机器的日志。

向日葵日志分析

向日葵远程控制软件是一款拥有多年远控技术经验的远程控制软件,可远程控制手机,远程桌面连接,远程开机,远程管理等,并深入各行各业提供企业远程办公、企业IT运维、技术支持等企业远程解决方案。

控制端日志分析

上图分别是本机控制端日志和被控端日志文件目录结构。首先对本机控制端日志（以sunlogin_service.+时间命名）文件进行分析：

首先是当前主机的IP信息、MAC地址、操作系统信息等。

其次登录成功：

本机控制端日志中也存在一些网络连接行为，如443端口，多为向日葵的一些网站域名解析地址。在本机控制端日志中我并没有发现什么有价值的信息，如果你有更多的发现，也可私信我。

被控端日志分析

与控制端日志相比，被控端日志比较丰富，首先是目录结构，如下：

可以重点关注以sunlogin_service.+时间命名的文件、history文件。首先看history文件，记录了被远程连接的时间以及连接方式（识别码），在日常分析过程中，定位时间节点较为关键。

接下来是以sunlogin_service.+时间命名的文件，同样也是获取本地的IP、MAC、主机名等信息：

直接在原始日志中日志匹配“remote ip”，可以看到控制端的主机出口IP地址。

端口为4118的IP地址则为向日葵相关域名的解析地址，可忽略。如果不放心，可以使用情报平台的IP解析域名功能进行确认。

TeamViewer日志分析

控制端日志分析

(1)路径

获取有效的日志文件首先要找到正确的路径，即名为

“TeamViewer15_Logfile.log”的文本文档。

如果不在默认路径中，可以通过桌面的TeamViewer图标，【右键】点击图标，选择【打开文件所在位置】，然后找到名为

“TeamViewer15_Logfile.log”的文本文档，如图1所示。

(2)确定有效时间

通过查看文件的”创建时间”可以判断日志是否被修改过，因为文件被编辑后”修改日期”也会随之变化。【右键】点击文件，选择【属性】，即可查看”创建时间”（目的是查看日志是否被嫌疑人编辑过）。

(3)通过 IP 或者关键词找到特征点

“主控端”日志文件：

被控端日志分析