【FreeBuf福利群招新啦!
群内不定期开启各种抽奖活动;
FreeBuf盲盒、大象公仔......
在这里,拓宽网安边界
甲方安全建设干货;
乙方最新技术理念;
全球最新的网络安全资讯;
如群已满,请添加FreeBuf小助手微信(freebee2022)】
默认情况下todesk日志文件保存在安装目录同级目录Logs下,在4.7以前的版本中,目录下有以service为首的文件以及以client为首的文件。其中service文件表示是被别人远控的日志。client文件表示是远控别人的日志。在4.7后的版本含4.7中,目录下不再存在以client为首的文件。
v4.6.2.3 日志目录结构 VS v4.7.0.2 日志目录结构:
通过client日志查找本机远程控制其他主机的日志行为。匹配关键词“Room createMuxRoom server”。
其中user代表此设备代码,room代表远程控制设备代码。
匹配关键词“Upnp stop”,查找关闭链接记录。
在server日志中匹配关键词“tcp begin connect ”,可看到远程连接记录和对端的ip地址。其中Port为443的IP是官方服务器地址,可忽略。
通过上述日志可以看到端口为20000的连接记录。通过对address地址进行反查归属地址,可以确认是我们远程连接的主机地址。
v4.7版本中的日志目录下并没有以client为首的日志文件,因此我们直接对server日志进行分析。
由于没有client日志,因此v4.6中提及到的方法在v4.7中并不适用,可以在日志中匹配关键词"client recv connect request,"。
myid代表此设备代码,destid代表远程控制设备代码。
在server日志中查找本机被其他主机远控记录与v4.6中的分析方法一致。同样在日志中匹配关键词“tcp begin connect ”,可看到远程连接记录和对端的ip地址。其中Port为443的IP是官方服务器地址,可忽略。
通过上述日志可以看到端口为20000的连接记录。通过对address地址进行反查归属地址,可以确认是我们远程连接的主机地址。
由于日常中使用向日葵的机会较少,所以直接对向日葵最新版本的日志进行分析。
上图分别是本机控制端日志和被控端日志文件目录结构。首先对本机控制端日志(以sunlogin_service.+时间命名)文件进行分析:
首先是当前主机的IP信息、MAC地址、操作系统信息等。
其次登录成功:
本机控制端日志中也存在一些网络连接行为,如443端口,多为向日葵的一些网站域名解析地址。在本机控制端日志中我并没有发现什么有价值的信息。
与控制端日志相比,被控端日志比较丰富,首先是目录结构,如下:
可以重点关注以sunlogin_service.+时间命名的文件、history文件。首先看history文件,记录了被远程连接的时间以及连接方式(识别码),在日常分析过程中,定位时间节点较为关键。
接下来是以sunlogin_service.+时间命名的文件,同样也是获取本地的IP、MAC、主机名等信息:
直接在原始日志中日志匹配“remote ip”,可以看到控制端的主机出口IP地址。
端口为4118的IP地址则为向日葵相关域名的解析地址,可忽略。如果不放心,可以使用情报平台的IP解析域名功能进行确认。
https://zhuanlan.zhihu.com/p/558745599?utm_id=0
文章引用微信公众号"FreeBuf",如有侵权,请联系管理员删除!
