文章关键词:电子数据取证、手机取证、计算机取证、云取证、计算机仿真取证
一、前言
在电信诈骗案的案件支援中,我们遇到了主要嫌疑人通过远程控制小型作案团伙的电脑或手机来拨打电话实施诈骗的情况。在对电脑进行取证时,我们发现有记录公民号码的文件删除时间是在已经控制窝点嫌疑人之后发生的。除了实施诈骗行为外,当小型作案地点暴露时,背后的团伙还会通过远程手段删除和销毁证据,这大大增加了案件的侦破难度。因此,本期的主要内容是通过对Windows TeamViewer日志的分析,查找主控端IP、公网IP、地址、软件版本以及被控端IP等重要信息。
二、仿真实验
2.1、测试环境
主控端:物理机(Windows 11);
被控端:虚拟机(Windows 10);
主控端TeamViewer版本:15.41.8
被控端TeamViewer版本:15.42.6
2.2、“主控端”日志文件分析
(1)找到正确的目录文件
获取有效的日志文件首先要找到正确的路径,即名为
"TeamViewer15_Logfile.log"的文本文档。
如果不在默认路径中,可以通过桌面的TeamViewer图标,【右键】点击图标,选择【打开文件所在位置】,然后找到名为
"TeamViewer15_Logfile.log"的文本文档,如图1所示。
图1 日志文件位置
(2)确定有效时间
通过查看文件的"创建时间"可以判断日志是否被修改过,因为文件被编辑后"修改日期"也会随之变化。【右键】点击文件,选择【属性】,即可查看"创建时间"(目的是查看日志是否被嫌疑人编辑过)。
图2 log创建时间
(3)通过 IP 或者关键词找到特征点
我的虚拟机主机IP是192.168.**.**,物理机IP是192.168.*.** 。
打开TeamViewer15_Logfile.log,使用文本编辑器(记事本、VS Code)打开。通过搜索关键词来获取主控端和被控端的IP等信息:
Start:开始时间(图3)
Version:软件版本(图3)
machineID:主控端ID(图3)
punch received:主控端ip(图3)
punch ignored:主控端公网ip(图4)
DESKTOP-*****:桌面(被控端)可根据该搜索找到被控端ID(图5)
“主控端”日志文件:
图3 开始时间、软件版本、主控端ID、主控端ip
图4 主控端公网ip
图5 被控端ID
“被控端”日志文件:
被控端日志查看与主控端一样【右键】→【打开文件所在位置】→然后找到名为"TeamViewer15_Logfile"的文本文档。
图6 日志文件位置
被控端查看和分析日志方法同主控端相同,请参考以上方法查看。
三、总结
在我们分析具体案件时,可能会遇到类似向日葵、TeamViewer等远程控制软件。当遇到这类软件时,我们可以通过分析软件的日志来获取重要信息,例如主控端和被控端的IP等。这些信息对于案件的侦破可以提供很大作用。
6950
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
