Ho una situazione in cui Teamviewer è stato utilizzato per accedere da remoto a un computer e cancellare file. Quali sono alcune aree in cui posso trovare prove della cancellazione dei file e dell'identità di Teamviewer dell'intruso?
Ho una situazione in cui Teamviewer è stato utilizzato per accedere da remoto a un computer e cancellare file. Quali sono alcune aree in cui posso trovare prove della cancellazione dei file e dell'identità di Teamviewer dell'intruso?
Che cosa fare:
Controlla C: \ Programmi \ TeamViewer \ e C: \ Users \ UserName \ AppData \ Roaming \ TeamViewer per i log
Fai clic sul simbolo del kit strumenti nell'angolo in alto a destra, fai clic sul pulsante Apri file di log ...
Crea un ticket di supporto sul sito TW e invia loro il log
File pertinenti per le indagini:
Connections_incoming.txt - memorizza i dettagli della connessione in entrata stabilita nel PC client. Ciò significa che sono stati collegati ID TeamViewer, il nome del computer da cui è stata stabilita la connessione, la durata, il tipo di connessione e l'ID univoco della connessione, il che è fondamentale per qualsiasi indagine.
TeamViewerX_Logfile.log - memorizza ogni singola attività di TeamViewer con timestamp, IP di sistema remoto, ID di TeamViewer e molte altre cose. Questo file di registro è la cronologia completa di tutte le connessioni in entrata e in uscita. In pratica, è tutto ciò di cui hai bisogno.
Prova dell'eliminazione dei file che troverai confrontando il timestamp di eliminazione con la data / ora della connessione TW
Leggi altre domande sui tag investigation teamviewer