🔥 热搜 🔥
上海习近平新疆鄂州父女瓜乌鲁木齐疫情H工口小学生赛高习明泽芊川一笑图包印尼排华
分类
社会娱乐国际人权科技经济其它
🔥 热搜 🔥
百度今日热点微信公众平台贴吧opggdnf私服百度贴吧知乎dnf公益服百度傻逼
分类
社会娱乐国际人权科技经济其它
查看原文
其他

【固话GOIP取证解疑与向日葵日志分析】

电子物证 2022-12-10
在问固话连接wifi,再连接语音网关设备,通过固话拨打,远程操控,如何进行取证?
远程控制一般是通过向日葵远控软件进行的,首先就需要找到向日葵的操作日志,并且读懂日志,向日葵的日志一般保存在日葵安装目录下C:\Program Files\Oray\SunLogin\SunloginClient\log路径中名为sunlogin_service.时间-数字.log的日志文件。


向日葵的安装文件在哪里呢?
找到向日葵的图标,


(这是向日葵远控的软件)
然后右击属性,点击打开文件所在位置


然后找到找到向日葵的安装文件了,再找到\SunloginClient\log的文件夹,因为也可以安装在D盘,所以不一定是C盘,但是安装目录是没错的。
可以用很多文件打开log文件,比如notepad++,Visual Studio Code等等如果不知道用哪个好,直接用txt打开,计算机自身带的就很方便,然后搜索[P2PAccepter]和[udpwrapper]就会有对方的IP信息以及端口等。


主控端218.26.158.133,被控就是221.228.93.6这个日志存在在安装目录下,C:\Program Files\Oray\SunLogin\SunloginClient\log路径中名为sunlogin_service日期-时间.log
有时候向日葵是注册的,可以通过查找account,找到注册的手机号码。


也可以直接登录向日葵的管理平台点击升级,直接跳转到向日葵的网站,看到注册使用的电话号码。


下面就是语音网关的取证了,以鼎达通为例。
我们在网上找到了《鼎信通达语音网关配置手册详解.doc》


我们看到直接在IE里面输入192.168.11.1,用户密码都是admin,就可以进入了。
主要是找sip服务器跟CDR(CDR是拨打记录,默认最近1000条)。


下面是提问环节。
1、没有电脑怎么办?拿着自己的电脑,用网线连接wifi路由器与语音网关,用网线连接语音网关与电脑,网线与语音网关连接的一定是LAN口,鼎达通登录192.168.11.1,用户密码都是admin。密码改了怎么办?没影响,可以抓包抓出SIP服务器,别的也没啥用。
2、除了鼎达通还有什么?
三汇:192.168.1.101,账号密码 admin
得伯乐:192.168.8.1,账号密码 admin
CCM:192.168.0.235,账密:Centent
奥科:192.168.2.1 账密:admin
一正:192.168.1.67:,账密:root
openvox:192.168.1.67,账户密码都是admin
.....很多很多
3、如果不知道登录地址怎么办?
用局域网扫描软件,扫描局域网的ip段,工具很多,比如:
SoftPerfect Network Scanner,NetBScanner
可以从github,小编这边就不整理了。
4、如果我都不会怎么办?
那就看着相关型号的语音网关设置文档一步一步来。

来源:明不可欺

Windows事件日志解析

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存