引子

todesk、向日葵、anydesk等是大家在日常办公过程中常用的远程软件，在方便大家远程协作办公的同时，也带来一定的安全隐患。利用软件漏洞或泄露密码，攻击者可以直接使用这类绕过操作系统和安全软件的防护，达到直接远程软件直接操作目标主机的目的。

若这类情况发生在主机无人值守期间，使用者往往可能对已经发生的入侵行为浑然不知，造成更严重的后果和损失。为此，分析远程软件运行日志是避免和挽回损失的关键。

本文以todesk为例，通过查找关键语句分析todesk的软件运行日志，使用者可以简单明了地了解到当前设备的控制和被控记录。

日志位置

在默认情况下，todesk的软件运行日志保存在安装目录同级目录的Logs文件夹中，目录下有以service开头的日志文件和以client开头的日志文件。

以service开头的日志文件所保存的是该机器被别人远程控制的日志。

以client开头的日志文件所保存的是该机器远程控制别人的日志。

在以service开头的日志文件中，使用者可以看到该机器被别人远程控制的日志。具体地说，匹配关键词tcp begin connect，带有该关键词的日志表示一次其他机器远程连接本机的记录。

注意：port=443的端口是todesk官方服务器所产生的记录，在软件运行过程中每隔一段时间就会产生一条，可忽略。

与之相对的，带有关键词host connection sendCloseEvent的日志则表示一次远程控制中止的记录。

通过对日志文件的分析，使用者可以看到该机器每次被控的开始时间和结束时间，从而判断有没有异常连接记录。

在以client开头的日志文件中，使用者可以看到该机器远程控制别人的日志。具体地说，匹配关键词Room createMuxRoom server，带有该关键词的日志表示一次该机器远程控制别人的记录。

与之相对的，带有关键词Upnp stop的日志则表示一次远程控制中止的记录。

作为一款实用的办公软件，todesk所提供的远程控制功能极大地方便了用户进行高效率的远程协作办公，但也给一些网络攻击创造了机会。因此，用户在使用该类远程软件的同时，也应当注意做好安全防护。以下是笔者的几点防护建议：