Dando continuidade aos posts sobre investigação e perícia em acesso remoto não autorizado, vamos abordar o LogMeIn, outro software de acesso remoto bastante popular. A versão do LogMeIn Client utilizado é a versão 1.3.831 (para Windows) e 4.1.4831 (para MAC).
O LogMeIn efetua o registro das ações do host remoto de duas formas, dependendo do sistema operacional. Em sistemas Windows, o LogMeIn registra as conexões no Log de Eventos e as ações no arquivo LogMeIn.log. No Mac OS, os registros são realizados na pasta de logs do sistema, conforme veremos a seguir:
Windows
%SystemDrive%\ProgramData\LogMeIn
MAC OSX
$HOME/Library/Logs/LogMeIn
O log de Eventos armazena registros com o status do serviço LogMeIn Guardian (evento 100/106), conexão e desconexão com endereço IP (102 e 202/105 e 205). O arquivo LogMeIn.log também registra tais eventos além de informações mais completas sobre a conexão.
Para a análise dos logs do LogMeIn, também utilizo o Glogg ou o LogExpert, ainda que não gere arquivos de grandes tamanhos.
Para o LogMeIn pesquise por linhas com os seguintes conteúdos:
.*Session - .*Logging in as.* .*Session - .*Logging in successfully.* .*Session - .*[File Transfer] Read directory contents of.* .*Session - .*[File Transfer] Read directory contents of.* .*Session - .*[File Transfer] Read ".* .*Session - .*[File Transfer] Disconnected.* .*Session - .*[File Transfer].*Client IP.*
Uma análise detalhada do log mostrará mais ações do host remoto, de acordo com o que tenha feito à máquina remota. Minha recomendação é para que se examine todas as linhas do log em torno de conexões suspeitas.
Até o próximo.
Boa tarde, graças às informações obtidas através do seu post do Team view pude conseguir as informações de acesso não autorizado, por um provável ex-funcionário da empresa. Esse suspeito incorreria em qual crime por isso? esse dados de logs do programa serve como prova?
Um abraço, e desde já muito obrigado pelas informações!
Olá Diogo
Sim. O acesso à computadores sem a devida permissão constitui crime. Veja o Marco Civil Regulatório. Preserve os logs do aplicativo. Eles servem como prova do acesso irregular.
Abraços,
E se esses registros forem apagados durante a conexão remota? Tanto no logme in quanto no teamviewer
Olá Xandy
Nesses casos proceda uma análise na mídia para recuperação de arquivos deletados. Já fiz algumas análises que encontravam-se exatamente dessa forma.
Abraços,