TeamViewer — это популярная программа для удаленного управления компьютерами и обмена файлами. В некоторых ситуациях может возникнуть необходимость найти следы использования этой программы на компьютере. Это может понадобиться, например, при проведении расследований (форензике), проверке безопасности или анализе инцидентов. В статье расскажу, как можно обнаружить признаки использования и подключения TeamViewer на компьютере.
Еще по теме: Поиск следов использования AnyDesk
Поиск TeamViewer на компьютере
Первое, с чего следует начать, — это проверить, установлен ли TeamViewer на компьютере. Это можно сделать несколькими способами:
Панель управления (Windows):
Откройте «Панель управления» —> «Программы и компоненты» —> в списке установленных программ найдите TeamViewer.
Проводник (Windows):
Откройте проводник. Перейдите в папку C:\Program Files или C:\Program Files (x86) и найдите папку с названием TeamViewer.
Еще проще выполнить поиск по запросу TeamViewer.
Терминал (Linux):
Откройте терминал и выполните команду dpkg -l | grep teamviewer или rpm -qa | grep teamviewer в зависимости от используемой системы.
Анализ файлов журналов (логов)
TeamViewer ведет собственные журналы, в которых фиксируются события, такие как подключения, отключения и изменения настроек. Эти журналы можно использовать для поиска следов активности.
Расположение логов TeamViewer (Windows):
Логи обычно находятся в папке:
1 |
C:\Program Files (x86)\TeamViewer\ |
или в папке пользователя:
1 |
C:\Users\<Имя пользователя>\AppData\Roaming\TeamViewer\ |
Основные файлы логов:
- TeamViewerXX_Logfile.log — основной файл журнала, где XX — версия TeamViewer.
- Connections_incoming.txt — содержит информацию о входящих подключениях.
- Connections_outgoing.txt — содержит информацию о исходящих подключениях.
Вот содержимое файла TeamViewerXX_Logfile.log:
В нем можно увидеть следующую информацию.
- Информация об устройстве (операционная система, IP-адрес удаленного-устройства, процессор, настройки прокси, часовой пояс, я использую UTC +7:00)
- Идентификатор устройства TeamViewer
- Сервер TeamViewer
- Путь к приложению
- Входящее соединение
- Неудачное входящее соединение
- Исходящее соединение
Теперь рассмотрим лог файл Connections_incoming.txt:
Слева на право:
- ID подключения
- Имя хоста TeamViewer с ID 1718598
- Дата входящего подключения (UTC)
- Дата отключения (UTC)
- Имя компьютера
- Режим подключения
Итак, эта машина Wind10 имеет входящее подключение от ID 1718598xxx с именем пользователя / хоста M-Benz. Если вы посмотрите детали, то увидите 2 подключения с именем пользователя / хоста от ID 1718598xxx. Это потому, что в первом случае я использовал случайный пароль, который был показан на экране (без входа в систему), а во втором случае я вошел в систему под именем Personal в TeamViewer, поэтому запись сохранилась как имя пользователя, а не как имя хоста машины, которая подключилась к этому хосту.
Расположение логов TeamViewer (Linux):
Логи можно найти в директории:
1 |
/var/log/teamviewer/ |
Основные файлы логов:
TeamViewerXX_Logfile.log — аналогичный файл журнала, как и на Windows.
Поиск автозагрузки TeamViewer
Чтобы определить, запускается ли TeamViewer автоматически при старте системы, можно проверить настройки автозагрузки:
Windows:
- Откройте «Диспетчер задач» (Ctrl+Shift+Esc).
- Перейдите на вкладку «Автозагрузка».
- Проверьте, есть ли в списке TeamViewer.
Linux:
- Проверьте файлы в директории /etc/init.d/ или /etc/systemd/system/ для системных служб.
- Либо ищите в директории пользователя ~/.config/autostart/.
Анализ системного реестра Windows
Системный реестр Windows также может содержать записи, связанные с TeamViewer. Для поиска следов можно воспользоваться редактором реестра:
- Откройте «Редактор реестра» (Win+R, затем введите regedit).
- Проверьте следующие ключи:
- HKEY_CURRENT_USER\Software\TeamViewer\ — настройки текущего пользователя.
- HKEY_LOCAL_MACHINE\SOFTWARE\TeamViewer\ — общие настройки для всех пользователей.
Поиск следов в сетевом трафике
Если TeamViewer использовался недавно, его можно обнаружить по сетевому трафику:
Мониторинг сетевых подключений:
- Откройте командную строку (cmd) и введите команду netstat -ano, чтобы увидеть активные сетевые подключения и PID процессов.
- Найдите в списке подозрительные подключения, особенно к серверам TeamViewer.
- Сопоставьте PID с запущенными процессами в «Диспетчере задач» (Ctrl+Shift+Esc).
PID (Process Identifier) — это уникальный числовой идентификатор, присваиваемый каждому процессу в операционной системе. Он используется для управления и отслеживания процессов.
Поиск следов в журнале событий Windows
Журнал событий Windows может содержать записи, связанные с запуском или установкой TeamViewer:
- Откройте «Просмотр событий» (Win+X, затем «Просмотр событий»).
- Перейдите в раздел «Журналы Windows» —> «Приложение».
- Найдите записи, связанные с установкой или запуском TeamViewer.
Поиск следов после удаления
Даже если TeamViewer был удален, могут остаться остаточные файлы или записи:
- Проверьте оставшиеся папки в C:\Program Files\, C:\Program Files (x86)\, C:\Users\<Имя пользователя>\AppData\Roaming\.
- Проверьте, не осталось ли записей в реестре, связанных с TeamViewer.
- Используйте утилиты для восстановления файлов, чтобы попытаться найти удаленные логи или файлы конфигурации (см. Компьютерная криминалистика (Форензика)).
Использование сторонних утилит
Для автоматизированного поиска следов использования TeamViewer можно использовать различные утилиты, такие как:
- Autoruns — для проверки автозагрузки и следов в системе.
- Process Monitor — для отслеживания активности процессов и поиска следов запуска TeamViewer.
- NetworkMiner — для анализа сетевого трафика.
Заключение
Поиск следов использования TeamViewer на компьютере может быть достаточно сложным процессом, требующим внимательного анализа различных источников информации: от установленных программ и логов до сетевого трафика и системных журналов. Применение вышеописанных методов поможет вам обнаружить признаки использования этой программы и, при необходимости, собрать доказательства для дальнейшего расследования.
ПОЛЕЗНЫЕ ССЫЛКИ: