【ICG】【客户端审计】无法审计QQ客户端聊天内容问题排查

唐小芳发表于:2021年05月27日 10:20:11更新于:2021年07月13日 17:18:25

【问题描述】

客户做了QQ聊天内容审计,无法审计QQ客户端聊天内容

【适用场景】

通用

【原因分析】

1、认证客户端没有正常安装

2、应用库协议不是最新的

3、QQ版本不在审计范围内

4、管理员账号权限不足,导致ICG客户端无法读取自身安装目录中的文件

【解决办法】

1、 检查QQ客户端审计策略是否开启,在【上网管理】—【客户端管控】—【客户端联动策略】—【客户端审计策略】查看;

image.png                                        

2、检查客户端是否正确安装,在【系统监控】—【在线用户】里查看;

image.png

3、确认PC的QQ版本在可审计范围内,链接:https://wiki.qianxin-inc.cn/pages/viewpage.action?pageId=98179708,如果当前不支持,建议反馈给产品经理;

4、检查特征库是否为最新,在【系统配置】—【系统更新】—【特征库更新】里查看;

image.png

客户端版本跟随应用库版本发布,后面0035即为客户端版本。

5、检查PC上安装的客户端版本是否已经升级为最新版本,如果不是最新版本,建议等待一段时间,检查文件路径:C:\Users\Public\Documents\Authenticate Client\IcgAuthClient.conf,

image.png

根据Windows系统不同,该目录也可能安装在D盘的。

ModeleUpdateBuild=协议库版本最后3位数字,代表客户端已升级到最新;

ModeleUpdateBuild<协议库版本最后3位数字或没有ModeleUpdateBuild一列,代表客户端不是最新版本,可以等待一段时间让客户端自动升级;

6、如果设备是以管理口通信的,可以在【上网管理】—【客户端管控】—【客户端推送】—【客户端高级配置】开启使用管理口通信;

image.png


7、检查PC端QQ审计插件运行日志,确认是否能正常审计,日志位置:C:\Users\Public\Documents\Authenticate Client\nscmk.log,日志中会打印当前PC安装的QQ版本,如果能正常审计内容,则会输出QQtransMsgHook im.dll succesd。如果提示no version support,则代表当前版本不支持审计;

image.png

8、如果当前系统管理员权限不足,导致ICG审计客户端无法正常读取自身安装目录中特征文件,则同样会导致审计失败,如下图所示:

image.png

此种问题可以右击ICG客户端安装目录打开属性设置,将目录权限改为"完全控制";

image.png

9、抓包查看客户端是否往123.59.211.70发包,客户端程序运行后默认情况下会与123.59.211.70的TCP:2223端口建立认证连接,该连接不能被PC的本地防火墙阻塞,否则不能进行认证,只用通过认证才会受到ICG下发的QQ审计策略。然后客户端程序运行后默认情况下会与123.59.211.70的UDP:2229端口进行心跳通信,如果客户端心跳通信中断也不会开启QQ审计功能。所以也要确保PC本地防火墙不能阻塞客户端的心跳通信。

9、 客户端收到ICG下发的QQ审计策略后,会将审计插件注入到QQ进程中,此过程可能会被某些安全防护软件拦截,比如360安全卫士(内嵌木马防火墙)、360保险箱(QQ被其保护),从而导致无法进行审计。如要审计需要关闭这些安全防护软件。

10、以上检查完之后,还是无法解决问题,建议提TAC工单获取支持。