jak dowiedzieć się, co utworzyło plik?

12

Mam kilka plików wirusów tworzonych losowo w katalogu głównym dysku ac: jednego z moich serwerów. Jak mogę dowiedzieć się, co go stworzyło? Może jakieś oprogramowanie innych firm?

Boris Vezmar
źródło

Odpowiedzi:

10

Zajrzyj do zakładki „Właściciel” pod właściwościami „Zaawansowane” na stronie właściwości „Zabezpieczenia” arkusza właściwości pliku. Szanse są jednak dobre, że zobaczysz „Administratorów” jako właściciela (co nie będzie zbyt pomocne).

Funkcja kontroli w systemie Windows może w tym pomóc, ale generuje tak duże ilości pozornie bezużytecznych danych, że praktycznie nie jest tego warte.

Evan Anderson
źródło
właściciel jest gościem! :) nie wiem, w jaki sposób ta gość nie zauważyła mojej uwagi! Teraz wiem, że jakiś inny komputer z sieci „bombarduje” mój serwer. Dzięki!
Boris Vezmar
Lepiej zablokuj to konto gościa i sprawdź, czy nie zrobili paskudnych rzeczy na twoim komputerze. Jeśli tworzą pliki w katalogu głównym, możesz mieć poważny bałagan na rękach.
Evan Anderson
wepchnęli conficker wirusa na mój serwer, ale nie mógł się rozprzestrzenić nigdzie indziej. znalazłem wszystkie pozostałości konfickera i usunąłem to wszystko. dzięki
Boris Vezmar
3

Załóżmy przez chwilę, że to, co kiedykolwiek tworzy te pliki, nie jest złośliwe:

  • Możesz spojrzeć na właściciela, aby zobaczyć, który użytkownik utworzył pliki
  • Następnie użyj czegoś takiego jak Sysinternals Process Explorer, aby wyświetlić procesy uruchomione dla tego użytkownika (kliknij kolumny prawym przyciskiem myszy i zaznacz „Nazwa użytkownika” na karcie „Obraz procesu”
  • Następnie spójrz na uchwyty każdego z tych procesów (menu Widok, zaznacz „Pokaż dolny panel, zmień” Widok dolnego panelu na „Uchwyty”), jeden z nich może mieć otwarty uchwyt na dziwne pliki, które widzisz

Jednak jeśli cokolwiek, co tworzy te pliki, jest złośliwe, podejmie kroki, aby cię udaremnić. (Ukrywanie plików, ukrywanie procesów, zaciemnianie itp.)

Możesz użyć niektórych narzędzi tutaj, aby sprawdzić rootkity: Lista narzędzi do wykrywania i usuwania rootkitów Windows

Ale jeśli serwer był własnością, wiesz, że był własnością i nie wiesz, jak się dostali: Czas zacząć go odbudowywać i aktywować dowolny plan reagowania na incydent.

Kok
źródło
Tak, twoja odpowiedź jest kolejnym logicznym krokiem po sugestii Evana Andersona i jest rozwiązaniem dla tej sprawy!
Boris Vezmar
2

Możesz także użyć FileMon dla Windows, aby zarejestrować czas i przetworzyć zapis pliku został zatwierdzony. Gdy to zrobisz, wyśledzić proces za pomocą nestat -ao i poszukać PID procesu, który napisał plik. Stąd znajdź adres IP, który nawiązuje połączenie z twoim serwerem i kontynuuj badanie lub ODMÓWIJ połączenie, jeśli korzystasz z wbudowanej zapory systemu Windows.

Link do FileMon dla Windows: http://technet.microsoft.com/en-us/sysinternals/bb896642.aspx

jeffp711
źródło
FileMon został zastąpiony jednym technet.microsoft.com/en-us/sysinternals/bb896645
Charles
2

PA File Sight może ci w tym pomóc. Możesz skonfigurować monitor do oglądania plików tworzonych w C: \ Aplikacja może rejestrować czas utworzenia, zastosowany proces (zakładając, że jest to proces lokalny) i używane konto. Może rejestrować te dane w pliku dziennika, bazie danych i / lub powiadamiać cię w czasie rzeczywistym.

Jest to produkt komercyjny, ale ma w pełni funkcjonalną 30-dniową wersję próbną, która będzie dla Ciebie odpowiednia.

Pełne ujawnienie: Pracuję dla firmy, która stworzyła PA File Sight.

DougN
źródło
HMMM, bardzo ciekawe oprogramowanie! Spróbuję :)
Boris Vezmar
0

pomogłoby nieco więcej szczegółów; Wersja systemu Windows, nazwa pliku (plików), tekst lub plik binarny? Czy można je zmienić / usunąć, czy też są zablokowane w użyciu? Wiele razy wskaże to, który program ligit dodał plik. Możesz uruchomić strings.exe i poszukać wskazówek, jeśli jest to plik binarny.

Jeśli jest to dysk NTFS, możesz sprawdzić kartę zabezpieczeń i w obszarze zaawansowany / właściciel, aby zobaczyć, kto utworzył. Eksplorator procesów z sysinternals.com również da wskazówki.


źródło