0x02|0x02 TeamViewer日志溯源 0x02TeamViewer日志溯源

1.环境部署
1.安装ubuntu_x64的deb安装包

2.打开TeamViewer

2.日志目录 1.通过图形应用找到日志文件

文章图片

2.通过命令定位日志文件
find / -name "TeamViewer 2>/dev/null"

文章图片

3.日志文件介绍 【0x02|0x02 TeamViewer日志溯源】1.logfiles目录，对于可以进行图形界面登录的用户，在teamviewer目录下会有该用户的目录文件

文章图片

2.这里关注Connecttions_incoming.txt文件，可以得到远程主机的teamviewer的id和用户名，登录时间【注意teamserver记录的是GMT时间，真实时间需要加8小时】

文章图片

3.用户目录，在用户目录下含有TeamViewer15_Logfile.log文件，该文件可以得到Teamviewer客户端打开时，有哪些用户是在线的信息【这里只能显现可以图形化界面登录的用户】,通常可以用来定位谁打开了TeamViewer客户端。

文章图片

4.通过检索文件里的LogindSessionInfo字段或者SysUser字段，可以看见具体的登录用户，但是这里的时间只能精确到日。

5.打开terminal，可以看见确实存在可图形界面登录的两个用户

文章图片

问题1:安装TeamViewer时，不知道该安装64位的还是32位的。

#64位操作系统 getconf WORD_BIT 32 getconf LONG_BIT 64 #32位操作系统 getconf WORD_BIT 32 getconf LONG_BIT 32

问题2:useradd创建新用户后，无法从图形界面登录

原因: useradd命令创建用户后，未在/home目录下下创建用户目录解决: 1.手动在 cd /home/ 目录下创建 sudo mkdir TestUser 目录 2.sudo chown TestUser:TestUser TestUser 更正属主和属组必须都为 /etc/passwd 所指定的属主和属组。