当前位置: 首页 > news >正文

【国内电子数据取证厂商龙信科技】谁是躲在“向日葵”后的

一、前言

   大家可能每天都在使用在远控软件,我们在享受远控软件带来的便利同时,犯罪者也在使用远控软件进行违法犯罪活动,以达到隐藏自己的目的。市面上常用的远控软件有“向日葵”、“TeamViewer”。

二、案件背景

在一次电信诈骗案件支援中,遇到诈骗团伙通过远程控制一个小的窝点,通过远程手机来实施诈骗,除了实施诈骗,当小窝点被端时,背后团伙还通过远程来删除销毁证据,极大的提高了案件的办理难度。小编当时想知道他们通过“向日葵”都做了什么操作,看看还能发现什么线索否。

三、侦查实验

由于前期对这方面没有研究,需要做侦查实验后,才能在真实的案件手机上面做操作。

3.1、此侦查实验的目的:

主要想拿向日葵软件(手机端&电脑端)的日志,从中分析到主控度ip、公网ip、Mac地址、设备名称、软件注册手机号码、以及被控端的向日葵验证码等重要信息。

3.2、准备工作:

  1. 测试手机:OPPO Reno2,版本:安卓11;
  2. 测试电脑系统,版本:Windows11;
  3. 向日葵软件,版本:ver.13.1.1.54688。

3.3、获取向日葵软件(手机端)日志文件

  1. 找到手机向日葵存放日志文件夹

可以把手机连接电脑后从电脑进入手机文件夹找到向日葵log文件,路径:此电脑\OPPO Reno2\内部共享存储空间\Android\data\com.oray.sunlogin\files\Download\oray(图1)

                     图1  手机端路径

  1. 找到log文件打开里边的日志文件(命名方式可能每个手机不一样,但只要有xxx.log的文件且有数据(文件大小不为0就行)即可),图2。

                        图2   LOG日志文件

  1. 找到日志后可以复制到电脑桌面用记事本打开,然后通过搜索以下关键词来查找我们需要的信息:

关键词含义:

(1)server_ip 向日葵服务器ip (图3)
(2)Userid:用户ID (图3)
(3)MAC:被控端Mac地址 (图4)
(4)Version:被控端向日葵版本
(5)Hostname:主机名(手机名称) (图3)
(6)Clientid:客户端ID (图3)
(7)account_name:被控端向日葵登录手机号码 (图3)
(8)Password:被控端向日葵验证码 (图3)
(9)public ip:公网ip地址 (图5)
(10)P2PStream:主控端指向被控端 (图5)
(11)P2PAccepter:被控端、接受人 (图6)

手机主控端日志截图:

图3  相关LOG信息

图4  相关LOG信息

图5  相关LOG信息

3.4、获取向日葵软件(电脑端)文件

向日葵图标:【右键】—【打开文件所在位置】—【打开log文件夹】,然后打开xxx.log文件,可以看到相关信息,如下图6所示。

图6  电脑端相关LOG信息

四、总结

大家以后在案件支援中可能会遇到向日葵等远控软件,遇到该软件我们就可以通过软件的日志来进行分析,从而找出主控端或者被控端的重要信息,对我们案件的侦破提供帮助,以上是对日志分析的一个讲解,希望能帮助到大家。

http://www.lryc.cn/news/599193.html

相关文章:

  • OSPF之多区域
  • 【ResNet50图像分类部署至RK3588】模型训练→转换RKNN→开发板部署
  • Jmeter的元件使用介绍:(四)前置处理器详解
  • JMeter每次压测前清除全部以确保异常率准确(以黑马点评为例、详细图解)
  • Pytorch中register_buffer和torch.nn.Parameter的异同
  • npm init vite-app runoob-vue3-test2 ,npm init vue@latest,指令区别
  • LIMA:大语言模型对齐的“少即是多”革命——原理、实验与范式重构
  • VR 技术在污水处理领域的创新性应用探索​
  • 华为云DRS实现Oracle到GaussDB数据库迁移的全流程技术方案
  • GTSuite许可与网络安全
  • Android Studio 自带的官方模拟器,ABI这一列是x86_64,xABI这一列是arm64-v8a
  • Apache Ranger 权限管理
  • Android Studio 2024 内嵌 Unity 3D 开发示例
  • Android studio自带的Android模拟器都是x86架构的吗,需要把arm架构的app翻译成x86指令?
  • Oracle数据块8KB、OS默认认块管理4KB,是否需调整大小为一致?
  • 弹性网:基于神经网络的多组分磁共振弹性成像波反演与不确定性量化|文献速递-医学影像算法文献分享
  • LeetCode 127:单词接龙
  • Hive-vscode-snippets
  • Hive【Hive架构及工作原理】
  • Oracle MCP本地部署测试
  • js实现宫格布局图片放大交互动画
  • [python][flask]flask接受get或者post参数
  • 【调试Bug】网络在训练中输出NaN
  • 关于网络模型
  • 基于深度学习的图像分类:使用DenseNet实现高效分类
  • Lua(数据库访问)
  • 全新轻量化PHP网盘搜索引擎系统源码
  • SAP在未启用负库存的情况下,库存却出现了负数-补充S4 1709 BUG
  • NVM踩坑实录:配置了npm的阿里云cdn之后,下载nodejs老版本(如:12.18.4)时,报404异常,下载失败的问题解决
  • Day31| 56. 合并区间、738.单调递增的数字、968.监控二叉树