Teamviewer-Protokoll

Dieser Beitrag ist auch verfügbar auf: Englisch

TeamViewer Forensics – Analysieren Sie TeamViewer und seine Protokolldateien für die Untersuchung

Einführung in TeamViewer

TeamViewer ist die beliebte internetbasierte Remote-Verwaltungssoftware, die von der TeamViewer GmbH entwickelt wurde. Es kann jeden PC oder Server über das Internet verbinden, so dass wir den Computer des Partners fernsteuern können. Dies bietet uns eine Schnittstelle, als ob wir vor diesem Computer sitzen. Es bietet eine All-In-One-Lösung für alle Funktionen wie Fernbedienung, Desktop-Freigabe, Dateiübertragung, Messaging usw. Die neueste Version von TeamViewer ist [hier herunterladen ]und ist für den persönlichen/nicht-kommerziellen Gebrauch. TeamViewer unterstützt gängige Plattformen, insbesondere Windows, Linux, Mac und Mobiltelefone.

Die Rolle von TeamViewer in der digitalen Forensik

Wie wir wissen, ist TeamViewer ein leistungsstarkes Fernüberwachungstool, es spielt eine wichtige Rolle in der digitalen Forensik. Das Eindringen einer nicht autorisierten Person in den PC einer Person ermöglicht den Zugriff auf ihre Daten. Die Fernsteuerung ist sowohl beim physischen Zugriff auf das Zielsystem als auch für den physischen Zugriff leistungsfähig. Die Fernbedienung kann alle Arten von Aktivitäten ausführen, die ein Benutzer physisch ausführt. Er kann wichtige und vertrauliche Informationen auf dem Remote-PC erfassen und auch zerstören oder missbrauchen. Als Forensik-Prüfer besteht die Frage, ob teamViewer-Aktivitäten im Detail bekannt sind und wie man die darin vergrabenen Informationen abholt.

Artefakte von TeamViewer

Die Artefakte über TeamViewer sind an 3 Enden vorhanden – Remote Administrator-Seite (Support-PC), der Server, über den die Verbindung hergestellt wird und die Kommunikation stattfindet (Secure Access Server) und der PC, auf den wir remote zugreifen (Client-PC). Die Abbildung zeigt den Kommunikationsprozess in TeamViewer.

Hier werden Artefakte im Client-/Remoteadministrator-PC-Modell der TeamViewer-Aktivität diskutiert. TeamViewer speichert alle Verbindungsinformationen und Aktivitätsdetails in seinem Installationsverzeichnis, was für alle forensischen Ermittler äußerst hilfreich ist. Das Installationsverzeichnis von TeamViewer lautet:

Die Artefakte von TeamViewer finden Sie in Verzeichnissen wie unten angegeben:

C:\Program Files\Teamviewer

Und

C:\Users\user\AppData\Roaming\TeamViewer

Im Installationsverzeichnis protokolliert TeamViewer alle Aktivitäten. Es gibt hauptsächlich zwei Protokolldateien, die TeamViewer verwaltet:

  • Connections_incoming.txt

Es speichert im Grunde Details der eingehenden Verbindung, die innerhalb des Client-PCs eingerichtet wird. Der Beispielinhalt in dieser Protokolldatei wird unten gezeigt:

TeamViewer ID

Es listet verbunden TeamViewer ID, Der Computername, von dem Verbindung hergestellt, Zeitdauer, Verbindungstyp und Verbindung eindeutige ID. Die grundlegenden Details der Verbindung können aus dieser Textdatei abgerufen werden. Für detailliertere Informationen sollten wir TeamViewerX_Logfile.log-Datei öffnen.

  • TeamViewerX_Logfile.log

Es speichert jede einzelne Aktivität von TeamViewer mit Zeitstempeln, Remote-System-IP, TeamViewer-ID usw. Diese Protokolldatei ist der vollständige Verlauf aller eingehenden und ausgehenden Verbindungen. Wenige Inhalte in dieser Protokolldatei sind unten aufgeführt:

Liste der Protokolldatei

Zusätzlich zu diesen Protokollen finden wir TVC (TeamViewer Configuration File), das von TeamViewer erstellt wurde, unter dem Ordner.

C:\Users\user\AppData\Roming\Teamviewer\MRU\RemoteSupport

Jede Datei stellt die eingerichtete Remoteverbindung dar, und der Dateiname ist die Remote-TeamViewer-ID. Wir können diese Datei in jedem Texteditor öffnen, der die „Ziel-ID“ (TeamViewer-ID) und „Aktion“ (Art der Remoteunterstützung) anzeigt.

Analyse der Protokolldatei

Wie oben erwähnt, enthält die Protokolldatei detaillierte Informationen zu allen Aktivitäten. Hier untersuchen wir einige forensische Artefakte von TeamViewer, die ein forensischer Ermittler benötigte, um sich zu konzentrieren.

Die Startsitzung zeigt den Beginn des neuen Abschnitts an. Aus den obigen Beispielprotokolldetails können wir den Zeitstempel der Sitzung sehen, die zusammen mit der verwendeten Version beginnt. Die anderen Details wie IP, IE-Version usw. stellen die Maschinendetails dar, von wo aus auf das System zugegriffen wird. Für die Kriminaltechniker ist es wichtig, den Ort zu ermitteln, von dem aus der Fernzugriff erfolgt ist.

Sehen wir uns nun einige Details über Remote-PC in Protokolldatei beschrieben sehen. Betrachten Sie das Protokollelement.

Remote-PC-Beschreibung

Wenn dieses Protokoll von Ihrem Computer gesammelt wird, dann ist 474556784 die TeamViewer-ID des Remotecomputers, 135339165 ist die TeamViewer-ID Ihres Computers und 192.168.2.88 ist die IP-Adresse des Remotesystems.

Schlussfolgerung

Als beliebtes und leistungsstarkes Remote-Verwaltungstool spielt TeamViewer eine wichtige Rolle bei der forensischen Untersuchung. Es protokolliert alle Aktivitäten, die in seiner Protokolldatei ausgeführt wurden. Diese Protokolle sind wertvoll und so wichtig wie die Beweisaufnahme von E-Mails, um Beweise zu finden, wenn jemand beschuldigt wird, cybercrime im Zusammenhang mit TeamViewer & Involvment mit anderen E-Mail-Plattformen durchgeführt werden. In der obigen Sitzung haben wir Beweisartefakte diskutiert, die in den Protokolldateien und TeamViewer TVC-Dateien hergestellt wurden.