数据观澜IT资讯
快捷导航
您的位置:首页>物联网>>应急响应之远程软件日志分析 >

应急响应之远程软件日志分析

  发布时间:2025-12-07 14:48:41   作者:玩站小弟   我要评论
概述日常运营分析过程中,很少对远控软件日志进行分析,如向日葵、Todesk,关于这两款软件在日常运营分析过程中,最常和这两款软件有关的,可能是违规软件使用告警,多数情况下内网禁止使用此类软件。恰好最近 。

概述

日常运营分析过程中,应急很少对远控软件日志进行分析 ,响应析如向日葵 、远志分Todesk,程软关于这两款软件在日常运营分析过程中,应急最常和这两款软件有关的响应析  ,可能是远志分违规软件使用告警 ,多数情况下内网禁止使用此类软件。程软恰好最近做过一次简单的应急向日葵日志分析 ,本文将对两款常见软件日志进行分析 。响应析平台上已有一篇《todesk日志分析》,远志分可供大家参考  ,程软本文也借鉴了该文章提供的应急特征进行分析 。亿华云

Todesk

ToDesk 是响应析一款多平台远程控制软件,支持主流操作系统Windows  、远志分Linux 、Mac、Android  、iOS跨平台协同操作。

默认情况下todesk日志文件保存在安装目录同级目录Logs下 ,在4.7以前的版本中 ,目录下有以service为首的文件以及以client为首的文件。其中service文件表示是被别人远控的日志 。云计算client文件表示是远控别人的日志。在4.7后的版本含4.7中 ,目录下不再存在以client为首的文件 。

v4.6.2.3 日志目录结构 VS v4.7.0.2 日志目录结构

图片.png

v4.6日志分析

v4.7之前版本的日志分析可以参考该文章《todesk日志分析》进行分析 。

本机远控其他主机

通过client日志查找本机远程控制其他主机的日志行为。匹配关键词“Room createMuxRoom server”。

图片.png

其中user代表此设备代码 ,room代表远程控制设备代码。

匹配关键词“Upnp stop”,查找关闭链接记录 。香港云服务器

图片.png

本机被其他主机远控记录

在server日志中匹配关键词“tcp begin connect ” ,可看到远程连接记录和对端的ip地址。其中Port为443的IP是官方服务器地址 ,可忽略 。

图片.png

通过上述日志可以看到端口为20000的连接记录 。通过对address地址进行反查归属地址 ,可以确认是我们远程连接的主机地址。

图片.png

v4.7日志分析

v4.7版本中的日志目录下并没有以client为首的日志文件,建站模板因此我们直接对server日志进行分析 。

本机远控其他主机

由于没有client日志 ,因此v4.6中提及到的方法在v4.7中并不适用,可以在日志中匹配关键词"client recv connect request,"。

图片.png

myid代表此设备代码 ,destid代表远程控制设备代码  。

本机被其他主机远控记录

在server日志中查找本机被其他主机远控记录与v4.6中的分析方法一致 。同样在日志中匹配关键词“tcp begin connect ”,可看到远程连接记录和对端的ip地址 。其中Port为443的IP是官方服务器地址 ,可忽略 。模板下载

图片.png

通过上述日志可以看到端口为20000的连接记录 。通过对address地址进行反查归属地址 ,可以确认是我们远程连接的主机地址  。

图片.png

向日葵

向日葵远程控制软件是一款拥有多年远控技术经验的远程控制软件,可远程控制手机,远程桌面连接,远程开机,远程管理等,并深入各行各业提供企业远程办公、企业IT运维 、技术支持等企业远程解决方案  。

V 13.3 日志分析

本机远控其他主机

针对向日葵的日志分析 ,可结合【向日葵远控】本地提取连接日志分析+手机号提取进行参考学习。由于日常中使用向日葵的机会较少,源码下载所以直接对向日葵最新版本的日志进行分析。

控制端日志分析

图片.png

上图分别是本机控制端日志和被控端日志文件目录结构 。首先对本机控制端日志(以sunlogin_service.+时间命名)文件进行分析:

首先是当前主机的IP信息 、MAC地址 、操作系统信息等 。

图片.png

其次登录成功:

图片.png

本机控制端日志中也存在一些网络连接行为,如443端口 ,多为向日葵的一些网站域名解析地址。在本机控制端日志中我并没有发现什么有价值的信息 ,如果你有更多的发现 ,也可私信我。

被控端日志分析

与控制端日志相比,被控端日志比较丰富 ,首先是目录结构,如下 :

图片.png

可以重点关注以sunlogin_service.+时间命名的文件、history文件。首先看history文件,记录了被远程连接的时间以及连接方式(识别码),在日常分析过程中,定位时间节点较为关键 。

图片.png

接下来是以sunlogin_service.+时间命名的文件,同样也是获取本地的IP、MAC、主机名等信息 :

图片.png

直接在原始日志中日志匹配“remote ip” ,可以看到控制端的主机出口IP地址 。

图片.png

端口为4118的IP地址则为向日葵相关域名的解析地址,可忽略 。如果不放心 ,可以使用情报平台的IP解析域名功能进行确认。

图片.png

图片.png

总结

在日常分析过程中,可结合上述特征进行分析定位异常 。同时要注意各个版本之间的日志变化情况。日志格式并不是一成不变的 。也可以通过模拟各种常见场景 ,提取行为特征 。毕竟实践才是检验真理的唯一标准。如果你有更好的方法或者思路,请私信我 。

参考

https://www.freebuf.com/articles/endpoint/363274.html

https://zhuanlan.zhihu.com/p/558745599?utm_id=0

  • Tag:

相关文章

  • Kubernetes安全之认证与授权

    背景随着云计算和微服务架构的普及,容器技术已经成为了企业和开发者构建、部署和管理应用程序的首选方案。Kubernetes作为一个开源的容器编排平台,已经成为了容器化应用程序的事实标准。然而,随着Kub
    2025-12-07

  • 详解后量子密码学及其重要性

    很多局外人会把密码学看得过于神秘。当我们一谈论密码学时,他们就会错误地将其与秘密组织、或深层次布局相关联。其实,从本质上讲,密码学只是一种保护和加密信息的手段。例如,如果您仔细观察浏览器中某网站URL
    2025-12-07

  • 你的远程员工真是他自己吗?FBI披露求职者滥用Deepfake

    在 Deepfake 的世界,真真假假,有时的确难以区分。AI 算法「Deepfake」可以生成各种有关人物的逼真图像和视频,在换脸领域已经有了广泛的应用。不过,AI 换脸技术引发的争议不断,比如利用
    2025-12-07

  • 黑客攻击智能家居的五大方式

    从智能冰箱到联网的安全系统,我们的智能家居技术可能比你想象的更脆弱。在智能家居时代,当牛奶不够用时,我们会收到冰箱发来的短信,当一只来访的松鼠在阳台上游荡时,安全系统会发出通知,智能音箱上的芯片AI助
    2025-12-07

  • 针对员工远程工作和旅行的网络安全建议

    随着假期的临近,许多远程工作人员(本就面临着日趋严峻的网络攻击风险)或将外出旅行,或将利用假期走亲访友。这可能会进一步加剧IT团队对网络安全的焦虑,同时,疫情及其后果加剧了他们的焦虑。波耐蒙研究所的一
    2025-12-07

  • 域欺骗的定义与预防措施

    ​译者 |布加迪审校 |孙淑娟域欺骗是网络犯罪分子用来在个人计算机或服务器上安装恶意代码的一种骗局。域欺骗是黑客用来访问敏感信息的一种更狡猾的新手法。域欺骗攻击中涉及的恶意代码会篡改IP地址信息,从而
    2025-12-07

最新评论