原创 ir社区 2021-07-17 08:00

tv杂谈

01

—

分析

          TeamViewer是一个在任何防火墙和NAT代理的后台用于远程控制，桌面共享和文件传输的简单且快速的解决方案（非开源软件）。为了连接到另一台计算机，只需要在两台计算机上同时运行 TeamViewer 即可，该软件第一次启动在两台计算机上自动生成伙伴 ID。只需要输入你的伙伴的 ID 到 TeamViewer，然后就会立即建立起连接。想象一下，如果攻击者拥有我们的 TeamViewer ID 和密码并连接了主机。我们可以从什么地方开始调查？

           TeamViewer在安装和使用后会生成一些日志，下面我们对这些日志进行详细分析。

TeamViewer安装路径下的Connections_incoming.txt

该路径记录成功连接该主机的teamviewer id，如下图：

92759XXXXX   远程的tv ID16-05-2021 09:09:38  连接起始时间16-05-2021 09:12:10  断开时间Luoshuang  我的主机名称RemoteControl tv的连接方式，远程控制，如果是文件传输该处显示Filetransfer

TeamViewer安装路径下的TeamViewer<version>_logfile.log

我使用 TeamViewer 15 ，安装路径是D:\App\TeamViewer，所以日志名字为TeamViewer15_Logfile.log ，日志路径为

D:\App\TeamViewer\TeamViewer\TeamViewer15_Logfile.log

这个日志包含了很多信息，例如：

（1）主机信息（操作系统、IP 地址、CPU、代理设置、时区）

（2）tv  id

（3）tv 服务器

（4）tv 安装路径

（5）连接成功与失败情况

（6）连出情况

有时候我们看不到TeamViewer主机的ID，这是因为该ID处于初始化阶段，可以通过关键字"MachineID"找到。

通过检索关键字"AuthenticationPasswordLogin_Passive"，来判断当前主机是否被连接过，连接成功的特征是"success"，失败的特征是"denied"，并且连接失败的时候还会记录失败者的teamviewer id。

通过检索关键字" Trying connection to"可以获取当前主机连接过哪些机器。

C:\Users\<user>\AppData\Roaming\TeamViewer\Connections.txt

该日志记录了当前主机连接过哪些 TeamViewer ID，以及起始和结束连接时间。如下图：

14510XXXXX   另一台tv ID08-04-2021 09:39:34  连接起始时间08-04-2021 09:58:34  断开时间huashiyi  我的主机名称RemoteControl tv的连接方式，远程控制，如果是文件传输该处显示Filetransfer

C:\Users\<user>\AppData\Roaming\TeamViewer\MRU\RemoteSupport\*.tvc

该日志记录了当前主机连接过的tv id，打开里边的内容是tv id和连接方式。

当主机上卸载tv后，有些文件并不会跟随卸载中删除，这些文件是：

安装路径下的connections_incoming.txtC:\Users\<user>\AppData\Roaming\TeamViewer\TeamViewer15_Logfile.logC:\Users\<user>\AppData\Roaming\TeamViewer\Connections.txt

02

—

TV ID/密码获取

该工具通过窗口句柄的方式获取正在运行的TeamViewer的ID和密码，

下载地址：https://github.com/z1Ro0/get_TeamViewer_ID_Password

使用方法：python get_TeamViewer_ID_Password.py

总之，通过teamviewer可以知道以下信息：

（1）我尝试连接过谁(TeamViewer ID)；

（2）谁（TeamViewer ID）使用 TeamViewer 连接过我；

（3）卸载tv后并非所有 TeamViewer 文件都会被删除；

（4）看到tv进程不妨获取下ID/密码。