У меня есть несколько файлов вирусов, случайно созданных в корневом каталоге ac: disk одного из моих серверов. Как я могу узнать, что его создало? Может быть, какое-то стороннее программное обеспечение?
У меня есть несколько файлов вирусов, случайно созданных в корневом каталоге ac: disk одного из моих серверов. Как я могу узнать, что его создало? Может быть, какое-то стороннее программное обеспечение?
Ответы:
Взгляните на вкладку «Владелец» под «Расширенные» свойства на странице свойств «Безопасность» на странице свойств файла. Тем не менее, есть хорошие шансы, что вы будете видеть «Администраторы» в качестве владельца (что не будет слишком полезно).
Функциональность аудита в Windows может помочь с такими вещами, но она генерирует такие большие объемы данных, которые кажутся бесполезными, что, собственно говоря, того не стоит.
Давайте на секунду предположим, что то, что когда-либо создает эти файлы, не является вредоносным:
Однако, если то, что создает эти файлы, является вредоносным, оно предпримет шаги, чтобы помешать вам. (Скрытие файлов, скрытие процессов, запутывание и т. Д.)
Вы можете использовать некоторые утилиты для проверки наличия руткитов: Список средств обнаружения и удаления руткитов Windows
Но если сервер принадлежал, вы знаете, что он принадлежал, и вы не знаете, как он вошел: пришло время начать его перестраивать и активировать любой план реагирования на инциденты, который у вас может быть.
Вы также можете использовать FileMon для Windows, чтобы регистрировать время и процесс записи файла. Как только вы это сделаете, отследите процесс, используя nestat -ao, и найдите PID процесса, который написал файл. Отсюда найдите IP-адрес, который устанавливает соединение с вашим сервером, и продолжите расследование или ОТКЛЮЧИТЕ соединение, если вы используете встроенный брандмауэр Windows.
Ссылка на FileMon для Windows: http://technet.microsoft.com/en-us/sysinternals/bb896642.aspx
PA File Sight может помочь вам в этом. Вы можете настроить монитор для просмотра созданных файлов в C: \ Приложение может регистрировать время создания, используемый процесс (при условии, что это локальный процесс) и используемую учетную запись. Он может записывать эти данные в файл журнала, базу данных и / или предупреждать вас в режиме реального времени.
Это коммерческий продукт, но у него есть полнофункциональная 30-дневная пробная версия, которая подойдет вам.
Полное раскрытие: я работаю в компании, которая создала PA File Sight.
немного больше деталей поможет; Версия для Windows, имя файла (ов), текстовое или двоичное? Могут ли они быть переименованы / удалены или они заблокированы в использовании? Много раз это будет указывать на то, что программа ligit добавила файл. Вы можете запустить strings.exe и искать подсказки, если это бинарный файл.
Если это диск NTFS, вы можете проверить вкладку безопасности и в разделе «Дополнительно / владелец», чтобы увидеть, кто создал. Исследователь процессов из sysinternals.com также даст подсказки.