概述

日常運營分析過程中，很少對遠控軟件日志進行分析，如向日葵、Todesk，關(guān)于這兩款軟件在日常運營分析過程中，最常和這兩款軟件有關(guān)的，可能是違規(guī)軟件使用告警，多數(shù)情況下內(nèi)網(wǎng)禁止使用此類軟件。恰好最近做過一次簡單的向日葵日志分析，本文將對兩款常見軟件日志進行分析。平臺上已有一篇《todesk日志分析》，可供大家參考，本文也借鑒了該文章提供的特征進行分析。

Todesk

ToDesk 是一款多平臺遠程控制軟件，支持主流操作系統(tǒng)Windows、Linux、Mac、Android、iOS跨平臺協(xié)同操作。

默認情況下todesk日志文件保存在安裝目錄同級目錄Logs下，在4.7以前的版本中，目錄下有以service為首的文件以及以client為首的文件。其中service文件表示是被別人遠控的日志。client文件表示是遠控別人的日志。在4.7后的版本含4.7中，目錄下不再存在以client為首的文件。

v4.6.2.3 日志目錄結(jié)構(gòu) VS v4.7.0.2 日志目錄結(jié)構(gòu)

圖片.png

v4.6日志分析

v4.7之前版本的日志分析可以參考該文章《todesk日志分析》進行分析。

本機遠控其他主機

通過client日志查找本機遠程控制其他主機的日志行為。匹配關(guān)鍵詞“Room createMuxRoom server”。

圖片.png

其中user代表此設(shè)備代碼，room代表遠程控制設(shè)備代碼。

匹配關(guān)鍵詞“Upnp stop”，查找關(guān)閉鏈接記錄。

圖片.png

本機被其他主機遠控記錄

在server日志中匹配關(guān)鍵詞“tcp begin connect ”，可看到遠程連接記錄和對端的ip地址。其中Port為443的IP是官方服務器地址，可忽略。

圖片.png

通過上述日志可以看到端口為20000的連接記錄。通過對address地址進行反查歸屬地址，可以確認是我們遠程連接的主機地址。

圖片.png

v4.7日志分析

v4.7版本中的日志目錄下并沒有以client為首的日志文件，因此我們直接對server日志進行分析。

本機遠控其他主機

由于沒有client日志，因此v4.6中提及到的方法在v4.7中并不適用，可以在日志中匹配關(guān)鍵詞"client recv connect request,"。

圖片.png

myid代表此設(shè)備代碼，destid代表遠程控制設(shè)備代碼。

本機被其他主機遠控記錄

在server日志中查找本機被其他主機遠控記錄與v4.6中的分析方法一致。同樣在日志中匹配關(guān)鍵詞“tcp begin connect ”，可看到遠程連接記錄和對端的ip地址。其中Port為443的IP是官方服務器地址，可忽略。

圖片.png

通過上述日志可以看到端口為20000的連接記錄。通過對address地址進行反查歸屬地址，可以確認是我們遠程連接的主機地址。

圖片.png

向日葵

向日葵遠程控制軟件是一款擁有多年遠控技術(shù)經(jīng)驗的遠程控制軟件,可遠程控制手機,遠程桌面連接,遠程開機,遠程管理等,并深入各行各業(yè)提供企業(yè)遠程辦公、企業(yè)IT運維、技術(shù)支持等企業(yè)遠程解決方案。

V 13.3 日志分析

本機遠控其他主機

針對向日葵的日志分析，可結(jié)合【向日葵遠控】本地提取連接日志分析+手機號提取進行參考學習。由于日常中使用向日葵的機會較少，所以直接對向日葵最新版本的日志進行分析。

控制端日志分析

圖片.png

上圖分別是本機控制端日志和被控端日志文件目錄結(jié)構(gòu)。首先對本機控制端日志（以sunlogin_service.+時間命名）文件進行分析：

首先是當前主機的IP信息、MAC地址、操作系統(tǒng)信息等。

圖片.png

其次登錄成功：

圖片.png

本機控制端日志中也存在一些網(wǎng)絡連接行為，如443端口，多為向日葵的一些網(wǎng)站域名解析地址。在本機控制端日志中我并沒有發(fā)現(xiàn)什么有價值的信息，如果你有更多的發(fā)現(xiàn)，也可私信我。

被控端日志分析

與控制端日志相比，被控端日志比較豐富，首先是目錄結(jié)構(gòu)，如下：

圖片.png

可以重點關(guān)注以sunlogin_service.+時間命名的文件、history文件。首先看history文件，記錄了被遠程連接的時間以及連接方式（識別碼），在日常分析過程中，定位時間節(jié)點較為關(guān)鍵。

圖片.png

接下來是以sunlogin_service.+時間命名的文件，同樣也是獲取本地的IP、MAC、主機名等信息：

圖片.png

直接在原始日志中日志匹配“remote ip”，可以看到控制端的主機出口IP地址。

圖片.png

端口為4118的IP地址則為向日葵相關(guān)域名的解析地址，可忽略。如果不放心，可以使用情報平臺的IP解析域名功能進行確認。

圖片.png

圖片.png

總結(jié)

在日常分析過程中，可結(jié)合上述特征進行分析定位異常。同時要注意各個版本之間的日志變化情況。日志格式并不是一成不變的。也可以通過模擬各種常見場景，提取行為特征。畢竟實踐才是檢驗真理的唯一標準。如果你有更好的方法或者思路，請私信我。

參考

https://www.freebuf.com/articles/endpoint/363274.html

https://zhuanlan.zhihu.com/p/558745599?utm_id=0