应急响应之远程软件日志分析
💡
原文中文,约2100字,阅读约需5分钟。
📝
内容提要
本文对向日葵和Todesk两款远控软件的日志进行了分析,通过匹配关键词查找远程控制和被控制的记录。日常分析中可结合特征进行异常定位,注意不同版本的日志变化情况。
🎯
关键要点
- 本文分析了向日葵和Todesk两款远控软件的日志。
- 日常运营中很少对远控软件日志进行分析,主要关注违规软件使用告警。
- Todesk支持多平台操作,日志文件存储在安装目录的Logs下。
- v4.7版本的Todesk不再有以client为首的日志文件,分析方法有所不同。
- 向日葵远程控制软件提供多种远程解决方案,日志分析可结合连接日志和手机号提取。
- 控制端日志中包含IP、MAC地址等信息,但价值有限。
- 被控端日志记录了连接时间和方式,关键时间节点的定位很重要。
- 在分析过程中需注意不同版本日志的变化,日志格式可能会有所不同。
➡️
