bir dosyayı neyin oluşturduğunu nasıl öğrenebilirim?

Sunucularımdan birinin ac: disk kökünde rasgele oluşturulan bazı virüs dosyaları var. Onu neyin yarattığını nasıl öğrenebilirim? Belki bazı üçüncü taraf yazılımlar?

Dosyanın özellikler sayfasındaki "Güvenlik" özellikler sayfasının "Gelişmiş" özelliklerinin altındaki "Sahip" sekmesine bakın. Ancak, "Yöneticiler" sahibi (çok yararlı olmayacak) olarak göreceksiniz iyi.

Windows'daki denetim işlevselliği bu tür şeylere yardımcı olabilir, ancak pratik olarak konuşmaya değer, buna değmeyecek kadar büyük miktarlarda görünüşte yararsız veri üretir.

Bir saniye için bu dosyaları oluşturan şeyin kötü amaçlı olmadığını varsayalım:

• Hangi kullanıcının dosyaları oluşturduğunu görmek için sahibine bakabilirsiniz
• Ardından, o kullanıcı altında çalışan işlemleri görüntülemek için Sysinternals Process Explorer gibi bir şey kullanın (Sütunları sağ tıklayın ve "İşlem Görüntüsü" sekmesindeki "Kullanıcı Adı" nı işaretleyin
• Sonra bu işlemlerin her birinin sahip olduğu tutamaçlara bakın (Görünüm Menüsüne Git, "Alt Bölmeyi Göster," Alt Bölme Görünümü "nü" Tutamaklar "olarak değiştirin), bunlardan birinde gördüğünüz tuhaf dosyalara açık bir tutamaç olabilir

Ancak, bu dosyaları oluşturan her şey kötü amaçlıysa, sizi engellemek için gerekli adımları atacaktır. (Dosya gizleme, işlem gizleme, gizleme vb.)

Kök setlerini kontrol etmek için buradaki bazı yardımcı programları kullanabilirsiniz: Windows rootkit algılama ve kaldırma araçlarının listesi

Ancak sunucu size aitse, sahip olduğunuzu biliyorsunuz ve nasıl giriş yaptıklarını bilmiyorsunuz: Yeniden oluşturmaya ve sahip olabileceğiniz herhangi bir olay müdahale planını etkinleştirmenin zamanı geldi.

Dosya yazma işleminin yapıldığı Zaman ve Süreci günlüğe kaydetmek için Windows için FileMon'u da kullanabilirsiniz. Bunu yaptıktan sonra nestat -ao kullanarak işlemi takip edin ve dosyayı yazan işlemin PID'sini arayın. Buradan sunucunuzla bağlantı kuran IP Adresini bulun ve araştırmaya devam edin veya Windows Yerleşik Güvenlik Duvarı kullanıyorsanız bağlantıyı DENEMEYİN.

Windows için FileMon'a bağlantı: http://technet.microsoft.com/en-us/sysinternals/bb896642.aspx

PA File Sight orada size yardımcı olabilir. C: \ içinde dosya oluşturmaları izlemek için bir monitör ayarlayabilirsiniz. Uygulama, oluşturma süresini, kullanılan işlemi (yerel bir süreç olduğunu varsayarak) ve kullanılan hesabı kaydedebilir. Bu verileri bir günlük dosyasına, veritabanına kaydedebilir ve / veya sizi gerçek zamanlı olarak uyarabilir.

Ticari bir üründür, ancak sizin için işe yarayacak tamamen işlevsel bir 30 günlük deneme süresine sahiptir.

Tam açıklama: PA File Sight'ı yaratan şirket için çalışıyorum.

biraz daha fazla ayrıntı yardımcı olacaktır; Windows sürümü, dosya (lar), metin veya ikili dosya adı? Yeniden adlandırılabilir / silinebilir mi veya kullanımda kilitli mi? Çoğu zaman bu, ligit programının dosyayı hangi eklediğine işaret eder. Strings.exe'yi çalıştırabilir ve ikili dosya ise ipuçlarını arayabilirsiniz.

Bu bir NTFS sürücüsü ise, kimin oluşturduğunu görmek için güvenlik sekmesini ve gelişmiş / sahip altında denetleyebilirsiniz. Sysinternals.com'dan işlem gezgini de ipuçları verecektir.