Sessions
❗ Sessions tab in my.anydesk II refers to all connection history made via your AnyDesk client.
In my.anydesk II, you can view a list of all connections that you created between local and remote devices.
Connections Overview
Go to the Sessions tab and view the following details of each connection created between two clients:
- Source address — the AnyDesk address of the device that started the connection.
- Destination address — the AnyDesk address of the device that accepted the connection request.
- State — the status of the connection.
- Start time — exact time when the connection started.
- End time — exact time when the connection ended.
You can also filter connections by their state when selecting the state on top of the connections list.
Connection Details
To view the details of each connection, select a connection from the list.
On the next page, you will see detailed information about the connection, including the duration of the connection and whether the devices are licensed. Also, you can view comments about the connection in the Comments section.
Connection details page
Trace Files
AnyDesk outputs trace files while running that can be utilized to diagnose problems.
Some errors occur without causing an immediate crash and may cause other unintended behavior. Therefore, it would be highly recommended to include the trace files from both participating devices as well as a detailed description of the issue when submitting a support ticket.
Note: To submit a support ticket, please use the contact form in your MyAnyDesk customer portal.
Alternatively, going to Settings > About AnyDesk > Support Information in the AnyDesk client and clicking on «Send Support Information» will automatically open the default mail client with the trace files from the device already attached.
If submitting files from two or more devices, please manually rename the trace files to link them to the corresponding device. For example:
Local_ad.trace Local_ad_svc.trace
Remote_ad.trace Remote_ad_svc.trace
Or if sending the trace files as an archive:
Local_PC.zip Remote_PC.zip
Trace File Locations
The trace files can be manually located in the following locations:
%appdata%\AnyDesk\ad.trace
EXE: %appdata%\AnyDesk\ad_ \ad_ .trace
MSI: %appdata%\AnyDesk\ad__msi\ad_ _msi.trace
Service (network-based) trace files.
Only available if AnyDesk is installed
%programdata%\AnyDesk\ad_svc.trace
EXE: %programdata%\AnyDesk\ad_ \ad_ _svc.trace
MSI: %programdata%\AnyDesk\ad_ _msi\ad_ _msi_svc.trace
%appdata%\AnyDesk\ad.trace
EXE: %appdata%\AnyDesk\ad_ \ad_ .trace
MSI: %appdata%\AnyDesk\ad_ _msi\ad_ _msi.trace
Service (network-based) trace files.
Only available if AnyDesk is installed
%AllUsersProfile%\AnyDesk\ad_svc.trace
EXE: %AllUsersProfile%\AnyDesk\ad_ \ad_ _svc.trace
MSI: %AllUsersProfile%\AnyDesk\ad_ _msi\ad_ _msi_svc.trace
~/.anydesk/anydesk.trace
~/.anydesk_ad_ /anydesk_ad_ .trace
/var/log/anydesk.trace
/var/log/anydesk_ad_ .trace
~/.anydesk/anydesk.trace
~/.anydesk_ad_ /anydesk_ad_ .trace
var/log/anydesk.trace
/var/log/anydesk_ad_ .trace
Как в AnyDesk узнать есть ли активные сессии (удаленные подключения к ПК)
Практически ежедневно пользователи компьютеров сталкиваются с удаленной технической поддержкой, ведь теперь не нужно ждать когда придете специалист и решить какие либо проблемы связанные как с работой самого компьютера так и с работой различных сервисов, достаточную запустить программу для удаленного доступа и все. С одной стороны это очень удобно но с другой есть риск того что к вашему ПК будут подключаться так сказать в тайне от вас, например, для копирования и изменения настроек или просто наблюдения, в любом случае это не приятно. Конечно понять что в данный момент есть активный удаленный сеанс можно но для этого придется произвести кое какие действия о которых обычный пользователь может и не знать. Сегодня хочу рассказать про одну настройку в AnyDesk с помощью которой можно будет сразу же понять что к вашему компьютеру кто-то подключился.
Перед тем как продолжить дальше рекомендую прочитать следующие статьи касающиеся программы AnyDesk.
Как быстро определить есть ли удаленные активные подключения к вашему компьютера в AnyDesk
И так как же в AnyDesk определить есть ли в данный момент активный удаленный сеанс, на самом деле все достаточно просто, если кто-то подключен к вашему ПК через AnyDesk то на панели инструментов будет отображаться значок AnyDesk, так же если навести курсор на иконку AnyDesk в трее появиться окно в котором будет написано количество активных сессий.
Но не заметить иконку на панели задач очень легко, так как во время работы может быть открыто несколько программ, документов браузеров и т.д. и все это будет отображаться на панели задач, в трее заглядывать будет далеко не каждый.
Поэтому перед использованием AnyDesk лучше сразу выполнить следующее, зайти в настройки программы.
В открывшемся коне выбрать раздел «Приватность» и найти пункт «Рамка экрана» , включаем её настраиваем цвет и ширину рамки.
Теперь при подключение к вашему ПК по краям экрана будет отображаться рамка, которого будет говорит о том что в данный момент есть активные удаленные подключения.
С её помощью Вы всегда будете знает о том что кто-то подключился к вашему компьютеру. Это всего лишь один из вариантов отслеживания активных сессий в AnyDesk, но она является самым простым и удобном.
Поиск следов использования AnyDesk на компьютере
AnyDesk — популярное ПО для удаленного доступа к компьютерам и смартфонам. Зачастую AnyDesk используется злоумышленниками для несанкционированного доступа к чужим устройствам. В статье поговорим о форензическом анализе AnyDesk. Я покажу где сохраняются логи передачи файлов, история подключений и использовании AnyDesk на компьютере и как ее вытащить.
Криминалистический анализ и поиск следов AnyDesk
AnyDesk — это легитимное, не вредоносное ПО, которое используется компаниями по всему миру для управления своими ИТ-системами, а также может быть использовано бесплатно для помощи членам семьи в решении ИТ-проблем.
Этот инструмент мошенники выбирают потому, что его легко использовать. Кроме того, в AnyDesk есть несколько опций, позволяющих злоумышленнику заблокировать доступ жертвы к собственному компьютеру, что дает ему полный контроль над ситуацией.
Где находится AnyDesk
AnyDesk может быть запущен двумя способами: установлен на компьютер или запущен как без установки. Способ запуска программы иногда определяет расположение артефактов на диске.
Вот расположение папки AnyDesk:
Версия без установки:
C : \ Users \ spysoftnet \ Appdata \ Roaming \ AnyDesk \
Где spysoftnet — имя пользователя.
C : \ ProgramData \ AnyDesk \
Чтобы проверить, каким способом запускается это приложение, посмотрите на свойства файла приложения AnyDesk. Если это программа получена от злоумышленика, то она, скорее всего, находится в папке Загрузки (Downloads) или на Рабочем столе.
Где находится файл GCAPI.DLL для запуска AnyDesk
GCAPI.DLL нужен для запуска всех версий AnyDesk и может находиться в том же месте, что и исполняемый файл, или в папке Temp .
Версия без установки:
c : \ users \ spysoftnet \ appdata \ local \ temp
c : \ windows \ temp
Если файл нет, AnyDesk загрузит его. В более поздних версиях, из-за уязвимости DLL, используется проверка хеша.
Логи входящих запросов в файле Connection_trace.txt
В файле Connection_trace . txt отображаются входящие запросы со статусом:
- User — для локального пользователя, принимающего запрос.
- Passwd — пароль, вводимый удаленной системой.
- Token — удаленный пользователь включает настройку Запоминать пароль (Remember password).
- REJECTED — отклонение запроса локальным пользователем.
Параметры Passwd и Token имеют значение только в том случае, если в локальной системе установлен пароль для неавторизованного доступа.
Важно отметить, что эти параметры предназначены только для входящих запросов и не отображают данные об исходящих соединениях.
Это позволяет получить временные метки и идентификаторы, которые помогут собрать картину.
История передачи файлов в User.conf
Файл user.conf полезен, если злоумышленник пытался передать файлы. Вы увидите путь к каталогу, который, по умолчанию, выдает имя пользователя.
Соединение с этого хоста было «совершенно не хакерским», что, как мы видим, является псевдонимом для локальной учетной записи администратора.
Это говорит о нескольких вещах, во-первых, учетная запись local — admin не создается Windows, что указывает, на то, что эта учетная запись была намеренно создана с таким именем, и, судя по имени, скорее всего, является локальной учетной записью, а не частью домена.
Это также указывает на то, что злоумышленник, скорее всего, работает на этом компьютере от имени администратора.
История использования AnyDesk в файле Ad.Trace
Файл ad . trace представляет собой подробный журнал и позволяет увидеть версию AnyDesk. Это может быть важно, если злоумышленник намеренно использует старую версию программы.
Также можно увидеть версию Windows, используемую жертвой и был ли установлен AnyDesk на момент запуска.
Если посмотреть на версию AnyDesk, которую запускала жертва, то возникает вопрос: зачем использовать старую версию? А потому, что это может быть уязвимая версия, или в ней не добавлены функции, которые компания добавила в новых версиях для противодействия использования программы злоумышленниками.
В файле также можно найти идентификатор, который мы нашли в файле Connection_trace . txt .
Здесь также показана удаленная версия AnyDesk злоумышленника и используемая операционная система.
При написании статьи я специально использовал удаленную версию AnyDesk (злоумышленник), а не просто разместил ее в своей локальной сети, поскольку я видел свой собственный публичный IP-адрес. На следующем скрине показан внешний IP-адрес атакующего.
Конечно, злоумышленник мог использовать прокси или VPN, но это еще один важный артефакт.
Журнал AnyDesk в файле Ad_Svc.Trace
Поскольку в данном сценарии злоумышленник принудительно перезагрузил удаленную машину, мы получили новый артефакт — файл ad_scv . trace . Обычно его можно увидеть только на установленной версии AnyDesk, поскольку это файл журнала службы AnyDesk.
Видно, что перезапуск был инициирован удаленно, а на машине жертвы была создана служба.
Что это означает? Это означает, что злоумышленник установил доступ к комюьютеру, а затем перезапустил его. Такой неконтролируемы владельцем компьютера доступ позволяет злоумышленнику подключиться к компьютеру в любое время.
Далее мы видим, что злоумышленник повторно подключается с тем же идентификатором и тем же IP-адресом.
История чата AnyDesk
Anydesk имеет встроенную функцию чата, которая позволяет удаленному и локальному пользователю общаться с помощью текстовых сообщений. Лог этого файла хранится в подкаталоге каталога AnyDesk.
Здесь будет находиться текстовый файл с именем, соответствующим идентификатору клиента подключающегося AnyDesk. В нем будут содержаться обе стороны разговора в чате. Это может быть очень полезно, если злоумышленник использует его для общения с жертвой. Однако большинство мошенников используют телефон.
Возможно, эти журналы чатов не слишком часто используются мошенниками, но они могут оказаться полезными в других криминалистических расследованиях.
Эскизы изображений AnyDesk
Есть также папка Thumbnails , в которой хранится небольшое изображение удаленного компьютера, подключенного к AnyDesk. Обычно в ней отображаются обои, используемые удаленным компьютером. Она доступна только при исходящем подключении.
Это может оказаться полезным для правоохранительных органов, которым необходимо доказать, что за соединения отвечает именно та машина, которую они исследуют.
Заключение
Мы живем в мире, где мошенничество становится все более изощренным, и защита своих финансов и данных становится приоритетом. Будьте бдительны и интересуйтесь вопросами кибербезопасности. Только знание методов взлома поможет эффективно защититься от них.
- Поиск артефактов на компьютере в OS Windows
- Где хранятся файлы Telegram WhatsApp Viber на компьютере
- Криминалистический анализ изображений с помощью Ghiro