浅谈“第三只眼”远控

浅谈“第三只眼”远控

背景 自2023年起至今，关于涉及到“第三只眼”远控程序的诈骗案不断发生，通过对不同案件的观察，发现不法分子通过即时通讯软件、邮箱、非法网站等媒介，对境内公司财务人员以及负责人进行攻击，对特定人员进行诈骗活动非法窃取目标资金财产以及相应信息数据进行二次诈骗。

“第三只眼”是扬州第三只眼软件科技有限公司开发的监控软件,可以对脑操作行为进行监控、对局域网和远程电脑进行监控，实现功能包括：屏幕监控、聊天记录监控、邮件监控、网络监控、桌面监控等。软件本身出发点是合法正常使用，但是遭到不法分子利用进行网络诈骗，此软件为付费软件，需要进行付费才可以使用，但是被监控端不会，所以大部分情况下都可以进行调证用于犯罪侦查，具体调证方式下文会讲述。面对复杂情况，如果不法分子将软件进行修改，那将会大大增加侦察难度。

简要分析示例一某公司负责人电脑发现可疑远控软件，如下图所示：

安装程序名称为“User”图标为“电脑”，软件详细信息如下图：

安装位置默认如下图（c:/用户/Administrator/AppData/Roaming/ntpcs）：

软件默认配置文件名称为：comnctt.xdt(此配置文件至关重要，会影响后续调证工作的实施，可将此文件直接发送给公司工程师)

配置信息简要分析：第26行host=j11.dszysoft.com

第48行uuid会显示被控端电脑“唯一身份标识”：uuid={XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}