概述

日常運(yùn)營(yíng)分析過程中，很少對(duì)遠(yuǎn)控軟件日志進(jìn)行分析，如向日葵、Todesk，關(guān)于這兩款軟件在日常運(yùn)營(yíng)分析過程中，最常和這兩款軟件有關(guān)的，可能是違規(guī)軟件使用告警，多數(shù)情況下內(nèi)網(wǎng)禁止使用此類軟件。恰好最近做過一次簡(jiǎn)單的向日葵日志分析，本文將對(duì)兩款常見軟件日志進(jìn)行分析。平臺(tái)上已有一篇《todesk日志分析》，可供大家參考，本文也借鑒了該文章提供的特征進(jìn)行分析。

Todesk

ToDesk 是一款多平臺(tái)遠(yuǎn)程控制軟件，支持主流操作系統(tǒng)Windows、Linux、Mac、Android、iOS跨平臺(tái)協(xié)同操作。

默認(rèn)情況下todesk日志文件保存在安裝目錄同級(jí)目錄Logs下，在4.7以前的版本中，目錄下有以service為首的文件以及以client為首的文件。其中service文件表示是被別人遠(yuǎn)控的日志。client文件表示是遠(yuǎn)控別人的日志。在4.7后的版本含4.7中，目錄下不再存在以client為首的文件。

v4.6.2.3 日志目錄結(jié)構(gòu) VS v4.7.0.2 日志目錄結(jié)構(gòu)

圖片.png

v4.6日志分析

v4.7之前版本的日志分析可以參考該文章《todesk日志分析》進(jìn)行分析。

本機(jī)遠(yuǎn)控其他主機(jī)

通過client日志查找本機(jī)遠(yuǎn)程控制其他主機(jī)的日志行為。匹配關(guān)鍵詞“Room createMuxRoom server”。

圖片.png

其中user代表此設(shè)備代碼，room代表遠(yuǎn)程控制設(shè)備代碼。

匹配關(guān)鍵詞“Upnp stop”，查找關(guān)閉鏈接記錄。

圖片.png

本機(jī)被其他主機(jī)遠(yuǎn)控記錄

在server日志中匹配關(guān)鍵詞“tcp begin connect ”，可看到遠(yuǎn)程連接記錄和對(duì)端的ip地址。其中Port為443的IP是官方服務(wù)器地址，可忽略。

圖片.png

通過上述日志可以看到端口為20000的連接記錄。通過對(duì)address地址進(jìn)行反查歸屬地址，可以確認(rèn)是我們遠(yuǎn)程連接的主機(jī)地址。

圖片.png

v4.7日志分析

v4.7版本中的日志目錄下并沒有以client為首的日志文件，因此我們直接對(duì)server日志進(jìn)行分析。

本機(jī)遠(yuǎn)控其他主機(jī)

由于沒有client日志，因此v4.6中提及到的方法在v4.7中并不適用，可以在日志中匹配關(guān)鍵詞"client recv connect request,"。

圖片.png

myid代表此設(shè)備代碼，destid代表遠(yuǎn)程控制設(shè)備代碼。

本機(jī)被其他主機(jī)遠(yuǎn)控記錄

在server日志中查找本機(jī)被其他主機(jī)遠(yuǎn)控記錄與v4.6中的分析方法一致。同樣在日志中匹配關(guān)鍵詞“tcp begin connect ”，可看到遠(yuǎn)程連接記錄和對(duì)端的ip地址。其中Port為443的IP是官方服務(wù)器地址，可忽略。

圖片.png

通過上述日志可以看到端口為20000的連接記錄。通過對(duì)address地址進(jìn)行反查歸屬地址，可以確認(rèn)是我們遠(yuǎn)程連接的主機(jī)地址。

圖片.png

向日葵

向日葵遠(yuǎn)程控制軟件是一款擁有多年遠(yuǎn)控技術(shù)經(jīng)驗(yàn)的遠(yuǎn)程控制軟件,可遠(yuǎn)程控制手機(jī),遠(yuǎn)程桌面連接,遠(yuǎn)程開機(jī),遠(yuǎn)程管理等,并深入各行各業(yè)提供企業(yè)遠(yuǎn)程辦公、企業(yè)IT運(yùn)維、技術(shù)支持等企業(yè)遠(yuǎn)程解決方案。

V 13.3 日志分析

本機(jī)遠(yuǎn)控其他主機(jī)

針對(duì)向日葵的日志分析，可結(jié)合【向日葵遠(yuǎn)控】本地提取連接日志分析+手機(jī)號(hào)提取進(jìn)行參考學(xué)習(xí)。由于日常中使用向日葵的機(jī)會(huì)較少，所以直接對(duì)向日葵最新版本的日志進(jìn)行分析。

控制端日志分析

圖片.png

上圖分別是本機(jī)控制端日志和被控端日志文件目錄結(jié)構(gòu)。首先對(duì)本機(jī)控制端日志（以sunlogin_service.+時(shí)間命名）文件進(jìn)行分析：

首先是當(dāng)前主機(jī)的IP信息、MAC地址、操作系統(tǒng)信息等。

圖片.png

其次登錄成功：

圖片.png

本機(jī)控制端日志中也存在一些網(wǎng)絡(luò)連接行為，如443端口，多為向日葵的一些網(wǎng)站域名解析地址。在本機(jī)控制端日志中我并沒有發(fā)現(xiàn)什么有價(jià)值的信息，如果你有更多的發(fā)現(xiàn)，也可私信我。

被控端日志分析

與控制端日志相比，被控端日志比較豐富，首先是目錄結(jié)構(gòu)，如下：

圖片.png

可以重點(diǎn)關(guān)注以sunlogin_service.+時(shí)間命名的文件、history文件。首先看history文件，記錄了被遠(yuǎn)程連接的時(shí)間以及連接方式（識(shí)別碼），在日常分析過程中，定位時(shí)間節(jié)點(diǎn)較為關(guān)鍵。

圖片.png

接下來是以sunlogin_service.+時(shí)間命名的文件，同樣也是獲取本地的IP、MAC、主機(jī)名等信息：

圖片.png

直接在原始日志中日志匹配“remote ip”，可以看到控制端的主機(jī)出口IP地址。

圖片.png

端口為4118的IP地址則為向日葵相關(guān)域名的解析地址，可忽略。如果不放心，可以使用情報(bào)平臺(tái)的IP解析域名功能進(jìn)行確認(rèn)。

圖片.png

圖片.png

總結(jié)

在日常分析過程中，可結(jié)合上述特征進(jìn)行分析定位異常。同時(shí)要注意各個(gè)版本之間的日志變化情況。日志格式并不是一成不變的。也可以通過模擬各種常見場(chǎng)景，提取行為特征。畢竟實(shí)踐才是檢驗(yàn)真理的唯一標(biāo)準(zhǔn)。如果你有更好的方法或者思路，請(qǐng)私信我。

參考

https://www.freebuf.com/articles/endpoint/363274.html

https://zhuanlan.zhihu.com/p/558745599?utm_id=0