jak dowiedzieć się, co utworzyło plik?

Mam kilka plików wirusów tworzonych losowo w katalogu głównym dysku ac: jednego z moich serwerów. Jak mogę dowiedzieć się, co go stworzyło? Może jakieś oprogramowanie innych firm?

Zajrzyj do zakładki „Właściciel” pod właściwościami „Zaawansowane” na stronie właściwości „Zabezpieczenia” arkusza właściwości pliku. Szanse są jednak dobre, że zobaczysz „Administratorów” jako właściciela (co nie będzie zbyt pomocne).

Funkcja kontroli w systemie Windows może w tym pomóc, ale generuje tak duże ilości pozornie bezużytecznych danych, że praktycznie nie jest tego warte.

Załóżmy przez chwilę, że to, co kiedykolwiek tworzy te pliki, nie jest złośliwe:

• Możesz spojrzeć na właściciela, aby zobaczyć, który użytkownik utworzył pliki
• Następnie użyj czegoś takiego jak Sysinternals Process Explorer, aby wyświetlić procesy uruchomione dla tego użytkownika (kliknij kolumny prawym przyciskiem myszy i zaznacz „Nazwa użytkownika” na karcie „Obraz procesu”
• Następnie spójrz na uchwyty każdego z tych procesów (menu Widok, zaznacz „Pokaż dolny panel, zmień” Widok dolnego panelu na „Uchwyty”), jeden z nich może mieć otwarty uchwyt na dziwne pliki, które widzisz

Jednak jeśli cokolwiek, co tworzy te pliki, jest złośliwe, podejmie kroki, aby cię udaremnić. (Ukrywanie plików, ukrywanie procesów, zaciemnianie itp.)

Możesz użyć niektórych narzędzi tutaj, aby sprawdzić rootkity: Lista narzędzi do wykrywania i usuwania rootkitów Windows

Ale jeśli serwer był własnością, wiesz, że był własnością i nie wiesz, jak się dostali: Czas zacząć go odbudowywać i aktywować dowolny plan reagowania na incydent.

Możesz także użyć FileMon dla Windows, aby zarejestrować czas i przetworzyć zapis pliku został zatwierdzony. Gdy to zrobisz, wyśledzić proces za pomocą nestat -ao i poszukać PID procesu, który napisał plik. Stąd znajdź adres IP, który nawiązuje połączenie z twoim serwerem i kontynuuj badanie lub ODMÓWIJ połączenie, jeśli korzystasz z wbudowanej zapory systemu Windows.

Link do FileMon dla Windows: http://technet.microsoft.com/en-us/sysinternals/bb896642.aspx

PA File Sight może ci w tym pomóc. Możesz skonfigurować monitor do oglądania plików tworzonych w C: \ Aplikacja może rejestrować czas utworzenia, zastosowany proces (zakładając, że jest to proces lokalny) i używane konto. Może rejestrować te dane w pliku dziennika, bazie danych i / lub powiadamiać cię w czasie rzeczywistym.

Jest to produkt komercyjny, ale ma w pełni funkcjonalną 30-dniową wersję próbną, która będzie dla Ciebie odpowiednia.

Pełne ujawnienie: Pracuję dla firmy, która stworzyła PA File Sight.

pomogłoby nieco więcej szczegółów; Wersja systemu Windows, nazwa pliku (plików), tekst lub plik binarny? Czy można je zmienić / usunąć, czy też są zablokowane w użyciu? Wiele razy wskaże to, który program ligit dodał plik. Możesz uruchomić strings.exe i poszukać wskazówek, jeśli jest to plik binarny.

Jeśli jest to dysk NTFS, możesz sprawdzić kartę zabezpieczeń i w obszarze zaawansowany / właściciel, aby zobaczyć, kto utworzył. Eksplorator procesów z sysinternals.com również da wskazówki.