як дізнатися, що створив файл?

У мене кілька випадкових файлів вірусів створюються на корені ac: диск одного з моїх серверів. Як я можу дізнатися, що це створило? Можливо, якесь програмне забезпечення сторонніх виробників?

Подивіться на вкладку "Власник" у розділі "Розширені" властивості сторінки "Захист" на аркуші властивостей файлу. Однак шанси хороші тим, що ви будете бачити "Адміністраторів" як власника (що не буде надто корисним).

Функціонал аудиту в Windows може допомогти у подібній справі, але він генерує такі великі обсяги, здавалося б, марних даних, що цього, практично кажучи, не варто.

Припустимо на секунду, що те, що коли-небудь створює ці файли, не є шкідливим:

• Ви можете подивитися на власника, щоб побачити, який користувач створив файли
• Потім використовуйте щось на зразок Sysinternals Process Explorer, щоб переглянути процеси, які виконуються під цим користувачем (Клацніть правою кнопкою миші стовпці та поставте прапорець "Ім'я користувача" на вкладці "Образ зображення"
• Потім подивіться на ручки, які є у кожного з цих процесів (Перейдіть у меню перегляду, позначте "Показати низьку панель, змініть" Вид нижньої панелі "на" Ручки "), одна з яких може мати ручку, відкриту для дивних файлів, які ви бачите

Однак якщо все, що створює ці файли, є шкідливим, воно вживе заходів, щоб зірвати вас. (Приховування файлів, приховування процесу, притуплення тощо)

Тут можна скористатися деякими утилітами, щоб перевірити наявність руткітів: Список інструментів виявлення та видалення руткітів Windows

Але якщо він належить цьому серверу, ви знаєте, що ним належить, і ви не знаєте, як вони потрапили. Пора почати його перебудовувати та активувати будь-який план реагування на інциденти, який у вас може бути.

Ви також можете використовувати FileMon для Windows, щоб записати час і обробляти запис файлу. Як тільки ви це зробите, відслідковуйте процес, використовуючи nestat -ao, і шукайте PID процесу, який записав файл. Звідси знайдіть IP-адресу, яка встановлює з'єднання з вашим сервером, і продовжте розслідування або ЗАБЕЗПЕЧУЙТЕ з'єднання, якщо ви використовуєте вбудований брандмауер Windows.

Посилання на FileMon для Windows: http://technet.microsoft.com/en-us/sysinternals/bb896642.aspx

PA File Sight може допомогти вам там. Ви можете налаштувати монітор для перегляду створених файлів у C: \ Додаток може записувати час створення, використовуваний процес (якщо припустити, що це локальний процес) та використовуваний обліковий запис. Він може записати ці дані у файл журналу, базу даних та / або попередити вас у режимі реального часу.

Це комерційний продукт, але має повністю функціональну 30-денну пробну версію, яка б працювала для вас.

Повне розкриття: Я працюю в компанії, яка створила PA File Sight.

трохи більше деталей допоможе; Версія Windows, назва файлу (файлів), текстового чи двійкового? Чи можна їх перейменувати / видалити чи заблоковано у використанні? Багато разів це вказуватиме на те, що програма ligit додала файл. Ви можете запустити strings.exe і шукати підказки, якщо це двійковий файл.

Якщо це привід NTFS, ви можете перевірити вкладку безпеки та в розділі Advanced / owner, щоб побачити, хто створив. Провідник процесів від sysinternals.com також дасть підказки.