Tengo una situación en la que se utilizó Teamviewer para iniciar sesión de forma remota en una computadora y eliminar archivos. ¿En qué áreas puedo encontrar evidencia de eliminación de archivos e identidad de Teamviewer del intruso?
Tengo una situación en la que se utilizó Teamviewer para iniciar sesión de forma remota en una computadora y eliminar archivos. ¿En qué áreas puedo encontrar evidencia de eliminación de archivos e identidad de Teamviewer del intruso?
¿Qué hago?
Verifique C: \ Archivos de programa \ TeamViewer \ y C: \ Users \ UserName \ AppData \ Roaming \ TeamViewer para los registros
Haga clic en el símbolo del kit de herramientas en la esquina superior derecha, haga clic en el botón Abrir archivos de registro ...
Cree un ticket de soporte en el sitio TW y envíeles el registro
Archivos relevantes para investigación:
Connections_incoming.txt : almacena los detalles de la conexión entrante que se establece dentro de la PC cliente. Eso significa que el ID de TeamViewer conectado, el nombre del equipo desde el que se estableció la conexión, la duración, el tipo de conexión y el ID exclusivo de la conexión, que es fundamental para cualquier investigación.
TeamViewerX_Logfile.log : almacena todas y cada una de las actividades de TeamViewer con marcas de tiempo, IP del sistema remoto, ID de TeamViewer y muchas otras cosas. Este archivo de registro es el historial completo de todas las conexiones entrantes y salientes. En la práctica, es todo lo que necesitas.
Evidencia de eliminación de archivos que encontrará al comparar la marca de tiempo de eliminación con la marca de tiempo de conexión TW.
Lea otras preguntas en las etiquetas investigation teamviewer