Mam kilka plików wirusów tworzonych losowo w katalogu głównym dysku ac: jednego z moich serwerów. Jak mogę dowiedzieć się, co go stworzyło? Może jakieś oprogramowanie innych firm?
12
Zajrzyj do zakładki „Właściciel” pod właściwościami „Zaawansowane” na stronie właściwości „Zabezpieczenia” arkusza właściwości pliku. Szanse są jednak dobre, że zobaczysz „Administratorów” jako właściciela (co nie będzie zbyt pomocne).
Funkcja kontroli w systemie Windows może w tym pomóc, ale generuje tak duże ilości pozornie bezużytecznych danych, że praktycznie nie jest tego warte.
Załóżmy przez chwilę, że to, co kiedykolwiek tworzy te pliki, nie jest złośliwe:
Jednak jeśli cokolwiek, co tworzy te pliki, jest złośliwe, podejmie kroki, aby cię udaremnić. (Ukrywanie plików, ukrywanie procesów, zaciemnianie itp.)
Możesz użyć niektórych narzędzi tutaj, aby sprawdzić rootkity: Lista narzędzi do wykrywania i usuwania rootkitów Windows
Ale jeśli serwer był własnością, wiesz, że był własnością i nie wiesz, jak się dostali: Czas zacząć go odbudowywać i aktywować dowolny plan reagowania na incydent.
źródło
Możesz także użyć FileMon dla Windows, aby zarejestrować czas i przetworzyć zapis pliku został zatwierdzony. Gdy to zrobisz, wyśledzić proces za pomocą nestat -ao i poszukać PID procesu, który napisał plik. Stąd znajdź adres IP, który nawiązuje połączenie z twoim serwerem i kontynuuj badanie lub ODMÓWIJ połączenie, jeśli korzystasz z wbudowanej zapory systemu Windows.
Link do FileMon dla Windows: http://technet.microsoft.com/en-us/sysinternals/bb896642.aspx
źródło
PA File Sight może ci w tym pomóc. Możesz skonfigurować monitor do oglądania plików tworzonych w C: \ Aplikacja może rejestrować czas utworzenia, zastosowany proces (zakładając, że jest to proces lokalny) i używane konto. Może rejestrować te dane w pliku dziennika, bazie danych i / lub powiadamiać cię w czasie rzeczywistym.
Jest to produkt komercyjny, ale ma w pełni funkcjonalną 30-dniową wersję próbną, która będzie dla Ciebie odpowiednia.
Pełne ujawnienie: Pracuję dla firmy, która stworzyła PA File Sight.
źródło
pomogłoby nieco więcej szczegółów; Wersja systemu Windows, nazwa pliku (plików), tekst lub plik binarny? Czy można je zmienić / usunąć, czy też są zablokowane w użyciu? Wiele razy wskaże to, który program ligit dodał plik. Możesz uruchomić strings.exe i poszukać wskazówek, jeśli jest to plik binarny.
Jeśli jest to dysk NTFS, możesz sprawdzić kartę zabezpieczeń i w obszarze zaawansowany / właściciel, aby zobaczyć, kto utworzył. Eksplorator procesów z sysinternals.com również da wskazówki.
źródło