应急照应之远程软件日志剖析
概述
日常运营剖析环节中,很少对远控软件日志启动剖析,如向日葵、Todesk,关于这两款软件在日常运营剖析环节中,最常和这两款软件无关的,或许是违规软件经常使用告警,少数状况下内网制止经常使用此类软件。恰恰最近做过一次性便捷的向日葵日志剖析,本文将对两款经常出现软件日志启动剖析。平台上已有一篇《todesk日志剖析》,可供大家参考,本文也自创了该文章提供的特色启动剖析。
ToDesk 是一款多平台远程控制软件,允许干流操作系统Windows、Linux、Mac、Android、iOS跨平台协同操作。
自动状况下todesk日志文件保留在装置目录同级目录Logs下,在4.7以前的版本中,目录下有以service为首的文件以及以client为首的文件。其中service文件示意是被他人远控的日志。client文件示意是远控他人的日志。在4.7后的版本含4.7中,目录下不再存在以client为首的文件。
v4.6.2.3 日志目录结构 VS v4.7.0.2 日志目录结构
v4.6日志剖析
v4.7之前版本的日志剖析可以参考该文章《todesk日志剖析》启动剖析。
本机远控其余主机
经过client日志查找本机远程控制其余主机的日志行为。婚配关键词“Room createMuxRoom server”。
其中user代表此设施代码,room代表远程控制设施代码。
婚配关键词“Upnp stop”,查找封锁链接记载。
本机被其余主机远控记载
在server日志中婚配关键词“tcp begin connect ”,可看到远程衔接记载和对端的ip地址。其中Port为443的IP是官网主机地址,可疏忽。
经过上述日志可以看到端口为20000的衔接记载。经过对address地址启动反查归属地址,可以确认是咱们远程衔接的主机地址。
v4.7日志剖析
v4.7版本中的日志目录下并没有以client为首的日志文件,因此咱们间接对server日志启动剖析。
本机远控其余主机
由于没有client日志,因此v4.6中提及到的方法在v4.7中并不适用,可以在日志中婚配关键词"client recv connect request,"。
myid代表此设施代码,destid代表远程控制设施代码。
本机被其余主机远控记载
在server日志中查找本机被其余主机远控记载与v4.6中的剖析方法分歧。雷同在日志中婚配关键词“tcp begin connect ”,可看到远程衔接记载和对端的ip地址。其中Port为443的IP是官网主机地址,可疏忽。
经过上述日志可以看到端口为20000的衔接记载。经过对address地址启动反查归属地址,可以确认是咱们远程衔接的主机地址。
向日葵
向日葵远程控制软件是一款领有多年远控技术阅历的远程控制软件,可远程控制手机,远程桌面衔接,远程开机,远程治理等,并深化各行各业提供企业远程办公、企业IT运维、技术允许等企业远程处置打算。
V 13.3 日志剖析
本机远控其余主机
针对向日葵的日志剖析,可联合【向日葵远控】本地提取衔接日志剖析+手机号提取启动参考学习。由于日常中经常使用向日葵的时机较少,所以间接对向日葵最新版本的日志启动剖析。
控制端日志剖析
上图区分是本机控制端日志和被控端日志文件目录结构。首先对本机控制端日志(以sunlogin_service.+期间命名)文件启动剖析:
首先是主机的IP消息、MAC地址、操作系统消息等。
其次登录成功:
本机控制端日志中也存在一些网络衔接行为,如443端口,多为向日葵的一些网站域名解析地址。在本机控制端日志中我并没有发现什么有价值的消息,假设你有更多的发现,也可私信我。
被控端日志剖析
与控制端日志相比,被控端日志比拟丰盛,首先是目录结构,如下:
可以重点关注以sunlogin_service.+期间命名的文件、history文件。首先看history文件,记载了被远程衔接的期间以及衔接模式(识别码),在日常剖析环节中,定位期间节点较为关键。
接上去是以sunlogin_service.+期间命名的文件,雷同也是失掉本地的IP、MAC、主机名等消息:
间接在原始日志中日志婚配“remote ip”,可以看到控制端的主机进口IP地址。
端口为4118的IP地址则为向日葵关系域名的解析地址,可疏忽。假设不安心,可以经常使用情报平台的IP解析域名配置启动确认。
总结
在日常剖析环节中,可联合上述特色启动剖析定位意外。同时要留意各个版本之间的日志变动状况。日志格局并不是原封不动的。也可以经过模拟各种经常出现场景,提取行为特色。毕竟通常才是测验真谛的惟一规范。假设你有更好的方法或许思绪,请私信我。