【远控类取证】本地提取连接日志分析
字数 1922 2025-08-22 12:22:36

远控软件连接日志取证分析技术详解

一、远控软件日志取证概述

远程控制软件的连接日志是数字取证中的重要证据来源,能够记录连接双方的IP地址、连接时间、操作行为等信息。本文以向日葵、ToDesk和TeamViewer为例,详细讲解如何从本地提取和分析这些远控软件的连接日志。

二、向日葵日志取证分析

1. 日志文件位置

向日葵日志默认保存在以下路径:

C:\Program Files\Oray\SunLogin\SunloginClient\log

日志文件命名格式为:

sunlogin_service.时间-数字.log

2. 查找日志文件的方法

情况1:桌面存在图标

  1. 右键点击向日葵图标
  2. 选择"打开文件所在位置"
  3. 进入log文件夹

情况2:桌面不存在图标

  1. 在任务栏搜索"向日葵"
  2. 右键搜索结果选择"打开文件位置"
  3. 进入log文件夹

3. 日志时间确定

  • 使用文件"创建时间"判断最为准确
  • "修改日期"可能因文件浏览/编辑而改变
  • 查看方法:右键文件 → 属性 → 查看创建时间

4. IP信息提取方法

采用"IP反推取证特征"方法:

主控端日志分析特征点:

  1. [P2PHelper] - 包含对端公网IP和内网IP
  2. [P2PStream] - 包含本地和远程IP信息
  3. [udpwrapper] - 包含P2P连接信息
  4. [udp] - 包含连接确认信息

被控端日志分析特征点:

  1. [P2PAccepter] - 记录P2P连接请求
  2. [service] - 记录新的连接接受者
  3. [udpwrapper] - 同主控端
  4. [udp] - 同主控端

5. 角色判定特征

特征点 主控端有效 被控端有效
[P2PHelper]
[P2PStream]
[P2PAccepter]
[service]
[udpwrapper]
[udp]

通过分析这些特征点可以判断主机在连接中的角色(主控或被控)。

6. 日志示例解析

主控端日志示例:

[29528] 2022-08-28 12:23:55.938 - Info - [P2PHelper] receive peer local ip 10.x.xx.x:15xxx, public ip 81.7x.xx.x:15xxx
[29528] 2022-08-28 12:23:55.938 - Info - [P2PStream] EstablishP2P local ip 111.xx.2xx.xxx:20xxx/192.168.0.103:160xx ==> peer ip 81.7x.xx.x:15xxx/10.x.xx.x:15xxx

被控端日志示例:

[5668] 2022-08-28 12:23:56.448 - Info - [P2PAccepter] [60.xx.xxx.xx:41xx] receive P2P request (public 111.xx.2xx.xxx:20xxx local 192.168.0.1031xxxx), delay r:32/c:40
[5668] 2022-08-28 12:23:58.025 - Info - [service][UdpAcceptor] new acceptor 111.xx.2xx.xxx:20xxx --> 0.0.0.0:15xxx

三、ToDesk日志取证分析

1. 日志文件位置

ToDesk日志默认保存在:

\todesk\Logs

2. 日志文件类型

  1. client_年_月_日.log - 包含客户端信息(含注册手机号)
  2. session_年_月_日.log - 包含会话信息

3. IP信息提取方法

主控端特征:

  • 获取本地IP:查找LocalIpport
  • 获取远程IP:查找RemotePort tcp begin connect
  • 注册手机号:查找token login center

被控端特征:

  • 获取本地IP:查找LocalIpport
  • 获取远程IP:查找RemotePort tcp begin connect
  • 注册手机号:查找token login center

注意事项:

  • 查询IP时需要排除127.0.0.1等本地IP
  • 对家宽/企业专线环境需结合IP侧情报综合研判
  • 服务器用户可能因实验时间过短而难以获取有效信息

四、TeamViewer日志取证分析

1. 日志文件位置

TeamViewer日志默认保存在:

C:\Users\安装用户\AppData\Roaming\TeamViewer

2. 日志文件名称

TeamViewer15_Logfile.log

3. IP信息提取方法

主控端/被控端通用特征:

  • 获取本地IP:通过系统命令ipconfig(Windows)或ifconfig(Mac)
  • 获取远程IP:查找punch received

注意: TeamViewer日志不记录注册手机号信息。

五、取证分析流程总结

  1. 定位日志文件

    • 确定远控软件类型
    • 找到默认或自定义安装路径
    • 定位日志文件夹

  2. 确定有效日志

    • 根据时间范围筛选
    • 优先查看创建时间而非修改时间

  3. 提取关键信息

    • 根据软件类型使用对应的搜索关键词
    • 区分主控端和被控端特征
    • 提取IP地址和端口信息

  4. 关联分析

    • 交叉验证多台主机的日志
    • 结合其他证据形成证据链

  5. 角色判定

    • 根据特征点判断主机角色
    • 分析连接时间和行为模式

六、注意事项

  1. 实验环境与实际环境可能存在差异,需灵活调整分析方法
  2. 不同版本软件可能有日志格式变化,需验证特征点有效性
  3. 取证过程需遵守法律法规,仅用于合法用途
  4. 对加密或删除的日志可能需要使用专业恢复工具
  5. 建议对取证结果进行多方验证,避免单一证据误判

七、同类远控软件参考名单

除上述三种外,其他常见远控软件包括:

  • Splashtop
  • AnyDesk
  • Remote Utilities
  • Chrome Remote Desktop
  • 微软远程桌面(RDP)
  • VNC系列软件
  • QQ远程协助

每种软件的日志存储位置和格式各不相同,取证方法需具体分析。

远控软件连接日志取证分析技术详解 一、远控软件日志取证概述 远程控制软件的连接日志是数字取证中的重要证据来源,能够记录连接双方的IP地址、连接时间、操作行为等信息。本文以向日葵、ToDesk和TeamViewer为例,详细讲解如何从本地提取和分析这些远控软件的连接日志。 二、向日葵日志取证分析 1. 日志文件位置 向日葵日志默认保存在以下路径: 日志文件命名格式为: 2. 查找日志文件的方法 情况1:桌面存在图标 右键点击向日葵图标 选择"打开文件所在位置" 进入log文件夹 情况2:桌面不存在图标 在任务栏搜索"向日葵" 右键搜索结果选择"打开文件位置" 进入log文件夹 3. 日志时间确定 使用文件"创建时间"判断最为准确 "修改日期"可能因文件浏览/编辑而改变 查看方法:右键文件 → 属性 → 查看创建时间 4. IP信息提取方法 采用"IP反推取证特征"方法: 主控端日志分析特征点: [P2PHelper] - 包含对端公网IP和内网IP [P2PStream] - 包含本地和远程IP信息 [udpwrapper] - 包含P2P连接信息 [udp] - 包含连接确认信息 被控端日志分析特征点: [P2PAccepter] - 记录P2P连接请求 [service] - 记录新的连接接受者 [udpwrapper] - 同主控端 [udp] - 同主控端 5. 角色判定特征 | 特征点 | 主控端有效 | 被控端有效 | |--------|------------|------------| | [ P2PHelper ] | ✓ | ✗ | | [ P2PStream ] | ✓ | ✗ | | [ P2PAccepter ] | ✗ | ✓ | | [ service ] | ✗ | ✓ | | [ udpwrapper ] | ✓ | ✓ | | [ udp ] | ✓ | ✓ | 通过分析这些特征点可以判断主机在连接中的角色(主控或被控)。 6. 日志示例解析 主控端日志示例: 被控端日志示例: 三、ToDesk日志取证分析 1. 日志文件位置 ToDesk日志默认保存在: 2. 日志文件类型 client_ 年_ 月_ 日.log - 包含客户端信息(含注册手机号) session_ 年_ 月_ 日.log - 包含会话信息 3. IP信息提取方法 主控端特征: 获取本地IP:查找 LocalIpport 获取远程IP:查找 RemotePort tcp begin connect 注册手机号:查找 token login center 被控端特征: 获取本地IP:查找 LocalIpport 获取远程IP:查找 RemotePort tcp begin connect 注册手机号:查找 token login center 注意事项: 查询IP时需要排除127.0.0.1等本地IP 对家宽/企业专线环境需结合IP侧情报综合研判 服务器用户可能因实验时间过短而难以获取有效信息 四、TeamViewer日志取证分析 1. 日志文件位置 TeamViewer日志默认保存在: 2. 日志文件名称 3. IP信息提取方法 主控端/被控端通用特征: 获取本地IP:通过系统命令 ipconfig (Windows)或 ifconfig (Mac) 获取远程IP:查找 punch received 注意: TeamViewer日志不记录注册手机号信息。 五、取证分析流程总结 定位日志文件 确定远控软件类型 找到默认或自定义安装路径 定位日志文件夹 确定有效日志 根据时间范围筛选 优先查看创建时间而非修改时间 提取关键信息 根据软件类型使用对应的搜索关键词 区分主控端和被控端特征 提取IP地址和端口信息 关联分析 交叉验证多台主机的日志 结合其他证据形成证据链 角色判定 根据特征点判断主机角色 分析连接时间和行为模式 六、注意事项 实验环境与实际环境可能存在差异,需灵活调整分析方法 不同版本软件可能有日志格式变化,需验证特征点有效性 取证过程需遵守法律法规,仅用于合法用途 对加密或删除的日志可能需要使用专业恢复工具 建议对取证结果进行多方验证,避免单一证据误判 七、同类远控软件参考名单 除上述三种外,其他常见远控软件包括: Splashtop AnyDesk Remote Utilities Chrome Remote Desktop 微软远程桌面(RDP) VNC系列软件 QQ远程协助 每种软件的日志存储位置和格式各不相同,取证方法需具体分析。