Teamviewer调查

Question

在我的情况下，Teamviewer被用来远程登录到计算机并删除文件。在哪些领域我可以找到文件删除的证据和入侵者的Teamviewer身份？

Answer 1

做些什么：

• 检查C:\Program \TeamViewer\和C：\Users\UserName\AppData\漫游\TeamViewer以获取日志
• 单击右上角的工具包符号，单击“打开日志文件”按钮。
• 在TW站点上创建支持票，并将日志发送给他们。

供调查的相关档案：

Connections_incoming.txt -存储客户端PC内建立的传入连接的详细信息。这意味着连接的TeamViewer ID，建立连接的计算机名称，时间持续时间，连接类型和连接唯一ID -这对于任何调查都是至关重要的。

TeamViewerX_Logfile.log -用时间戳、远程系统IP、TeamViewer ID和许多其他东西来存储TeamViewer的每一个活动。此日志文件是所有传入和传出连接的完整历史记录。实际上，这是你所需要的一切。

通过比较删除时间戳和TW连接时间戳，可以找到文件删除证据。