як дізнатися, що створив файл?


12

У мене кілька випадкових файлів вірусів створюються на корені ac: диск одного з моїх серверів. Як я можу дізнатися, що це створило? Можливо, якесь програмне забезпечення сторонніх виробників?

Відповіді:


10

Подивіться на вкладку "Власник" у розділі "Розширені" властивості сторінки "Захист" на аркуші властивостей файлу. Однак шанси хороші тим, що ви будете бачити "Адміністраторів" як власника (що не буде надто корисним).

Функціонал аудиту в Windows може допомогти у подібній справі, але він генерує такі великі обсяги, здавалося б, марних даних, що цього, практично кажучи, не варто.


власник - гість! :) Я не знаю, як ця гостьова річ пропустила мою увагу! Тепер я знаю, що якийсь інший комп'ютер з мережі "бомбардує" мій сервер. Дякую!
Борис Везмар

Краще, щоб цей гостьовий рахунок був заблокований і переконайтеся, що вони не зробили неприємних дій на вашій машині. Якщо вони створюють файли в кореневому каталозі, у вас може виникнути серйозна безлад.
Еван Андерсон

вони підштовхнули вірус конфікера на мій сервер, але він не міг поширитися більше ніде. я знайшов усі залишки конфікера та вилучив його. спасибі
Борис Везмар

3

Припустимо на секунду, що те, що коли-небудь створює ці файли, не є шкідливим:

  • Ви можете подивитися на власника, щоб побачити, який користувач створив файли
  • Потім використовуйте щось на зразок Sysinternals Process Explorer, щоб переглянути процеси, які виконуються під цим користувачем (Клацніть правою кнопкою миші стовпці та поставте прапорець "Ім'я користувача" на вкладці "Образ зображення"
  • Потім подивіться на ручки, які є у кожного з цих процесів (Перейдіть у меню перегляду, позначте "Показати низьку панель, змініть" Вид нижньої панелі "на" Ручки "), одна з яких може мати ручку, відкриту для дивних файлів, які ви бачите

Однак якщо все, що створює ці файли, є шкідливим, воно вживе заходів, щоб зірвати вас. (Приховування файлів, приховування процесу, притуплення тощо)

Тут можна скористатися деякими утилітами, щоб перевірити наявність руткітів: Список інструментів виявлення та видалення руткітів Windows

Але якщо він належить цьому серверу, ви знаєте, що ним належить, і ви не знаєте, як вони потрапили. Пора почати його перебудовувати та активувати будь-який план реагування на інциденти, який у вас може бути.


Так, ваша відповідь є якось наступним логічним кроком після того, що запропонував Еван Андерсон, і це рішення для цієї справи!
Борис Везмар

2

Ви також можете використовувати FileMon для Windows, щоб записати час і обробляти запис файлу. Як тільки ви це зробите, відслідковуйте процес, використовуючи nestat -ao, і шукайте PID процесу, який записав файл. Звідси знайдіть IP-адресу, яка встановлює з'єднання з вашим сервером, і продовжте розслідування або ЗАБЕЗПЕЧУЙТЕ з'єднання, якщо ви використовуєте вбудований брандмауер Windows.

Посилання на FileMon для Windows: http://technet.microsoft.com/en-us/sysinternals/bb896642.aspx



2

PA File Sight може допомогти вам там. Ви можете налаштувати монітор для перегляду створених файлів у C: \ Додаток може записувати час створення, використовуваний процес (якщо припустити, що це локальний процес) та використовуваний обліковий запис. Він може записати ці дані у файл журналу, базу даних та / або попередити вас у режимі реального часу.

Це комерційний продукт, але має повністю функціональну 30-денну пробну версію, яка б працювала для вас.

Повне розкриття: Я працюю в компанії, яка створила PA File Sight.


HMMM, дуже цікаве програмне забезпечення! Я спробую це спробувати :)
Борис Везмар

0

трохи більше деталей допоможе; Версія Windows, назва файлу (файлів), текстового чи двійкового? Чи можна їх перейменувати / видалити чи заблоковано у використанні? Багато разів це вказуватиме на те, що програма ligit додала файл. Ви можете запустити strings.exe і шукати підказки, якщо це двійковий файл.

Якщо це привід NTFS, ви можете перевірити вкладку безпеки та в розділі Advanced / owner, щоб побачити, хто створив. Провідник процесів від sysinternals.com також дасть підказки.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.