как узнать что создал файл?


12

У меня есть несколько файлов вирусов, случайно созданных в корневом каталоге ac: disk одного из моих серверов. Как я могу узнать, что его создало? Может быть, какое-то стороннее программное обеспечение?

Ответы:


10

Взгляните на вкладку «Владелец» под «Расширенные» свойства на странице свойств «Безопасность» на странице свойств файла. Тем не менее, есть хорошие шансы, что вы будете видеть «Администраторы» в качестве владельца (что не будет слишком полезно).

Функциональность аудита в Windows может помочь с такими вещами, но она генерирует такие большие объемы данных, которые кажутся бесполезными, что, собственно говоря, того не стоит.


Владелец Гость! :) Я не знаю, как тот гость пропустил мое внимание! Теперь я знаю, что какой-то другой компьютер из сети «бомбит» мой сервер. Благодарность!
Борис Везмар

Лучше заблокируйте учетную запись «Гость» и убедитесь, что они не сделали ничего плохого вашей машине. Если они создают файлы в корневом каталоге, у вас может быть серьезный беспорядок.
Эван Андерсон

они поместили вирус conficker на мой сервер, но он больше не мог распространяться. Я нашел все остатки Conficker и удалил все это. спасибо
Борис Везмар

3

Давайте на секунду предположим, что то, что когда-либо создает эти файлы, не является вредоносным:

  • Вы можете посмотреть на владельца, чтобы увидеть, какой пользователь создал файлы
  • Затем используйте что-то вроде Sysinternals Process Explorer для просмотра процессов, запущенных под этим пользователем (щелкните правой кнопкой мыши столбцы и выберите «Имя пользователя» на вкладке «Образ процесса»).
  • Затем посмотрите на дескрипторы, которые есть у каждого из этих процессов (Перейти к меню просмотра, установите флажок «Показать нижнюю панель, измените« Вид нижней панели »на« Ручки »), один из них может иметь дескриптор, открытый для странных файлов, которые вы видите

Однако, если то, что создает эти файлы, является вредоносным, оно предпримет шаги, чтобы помешать вам. (Скрытие файлов, скрытие процессов, запутывание и т. Д.)

Вы можете использовать некоторые утилиты для проверки наличия руткитов: Список средств обнаружения и удаления руткитов Windows

Но если сервер принадлежал, вы знаете, что он принадлежал, и вы не знаете, как он вошел: пришло время начать его перестраивать и активировать любой план реагирования на инциденты, который у вас может быть.


Да, ваш ответ является своего рода логическим шагом после того, что предложил Эван Андерсон, и это решение для этого случая!
Борис Везмар

2

Вы также можете использовать FileMon для Windows, чтобы регистрировать время и процесс записи файла. Как только вы это сделаете, отследите процесс, используя nestat -ao, и найдите PID процесса, который написал файл. Отсюда найдите IP-адрес, который устанавливает соединение с вашим сервером, и продолжите расследование или ОТКЛЮЧИТЕ соединение, если вы используете встроенный брандмауэр Windows.

Ссылка на FileMon для Windows: http://technet.microsoft.com/en-us/sysinternals/bb896642.aspx


FileMon заменяется с этим technet.microsoft.com/en-us/sysinternals/bb896645
Чарльзу

2

PA File Sight может помочь вам в этом. Вы можете настроить монитор для просмотра созданных файлов в C: \ Приложение может регистрировать время создания, используемый процесс (при условии, что это локальный процесс) и используемую учетную запись. Он может записывать эти данные в файл журнала, базу данных и / или предупреждать вас в режиме реального времени.

Это коммерческий продукт, но у него есть полнофункциональная 30-дневная пробная версия, которая подойдет вам.

Полное раскрытие: я работаю в компании, которая создала PA File Sight.


HMMM, очень интересное программное обеспечение! Я дам ему попробовать :)
Борис Vezmar

0

немного больше деталей поможет; Версия для Windows, имя файла (ов), текстовое или двоичное? Могут ли они быть переименованы / удалены или они заблокированы в использовании? Много раз это будет указывать на то, что программа ligit добавила файл. Вы можете запустить strings.exe и искать подсказки, если это бинарный файл.

Если это диск NTFS, вы можете проверить вкладку безопасности и в разделе «Дополнительно / владелец», чтобы увидеть, кто создал. Исследователь процессов из sysinternals.com также даст подсказки.

Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.