bagaimana cara mencari tahu apa yang membuat file?

Saya memiliki beberapa file virus yang dibuat secara acak di root ac: disk dari salah satu server saya. Bagaimana saya bisa mengetahui apa yang membuatnya? Beberapa perangkat lunak pihak ke-3 mungkin?

Lihat tab "Pemilik" di bawah properti "Advanced" pada halaman properti "Security" pada lembar properti file. Namun, kemungkinannya bagus, Anda akan melihat "Administrator" sebagai pemilik (yang tidak akan terlalu membantu).

Fungsionalitas audit di Windows dapat membantu dengan hal seperti ini, tetapi menghasilkan volume besar data yang tampaknya tidak berguna sehingga secara praktis tidak layak.

Mari kita asumsikan sejenak bahwa apa pun yang membuat file-file ini tidak berbahaya:

• Anda dapat melihat pemilik untuk melihat apa yang pengguna buat file
• Kemudian gunakan sesuatu seperti Sysinternals Process Explorer untuk melihat proses yang berjalan di bawah pengguna itu (Klik kanan kolom dan centang "Nama Pengguna" pada tab "Gambar Proses"
• Kemudian lihat gagang yang dimiliki masing-masing proses ini (Goto View Menu, Centang "Show Low Pane, Ubah" Lower Pane View "menjadi" Handles "), salah satunya mungkin memiliki pegangan yang terbuka ke file aneh yang Anda lihat

Namun, jika apa pun yang membuat file-file ini berbahaya, itu akan mengambil langkah-langkah untuk menggagalkan Anda. (Menyembunyikan file, menyembunyikan proses, kebingungan, dll.)

Anda dapat menggunakan beberapa utilitas di sini untuk memeriksa rootkit: Daftar alat deteksi dan penghapusan rootkit Windows

Tetapi jika server telah dimiliki, Anda tahu itu sudah dimiliki, dan Anda tidak tahu bagaimana mereka masuk: Saatnya untuk mulai membangun kembali dan mengaktifkan rencana respons insiden yang mungkin Anda miliki.

Anda juga dapat menggunakan FileMon untuk Windows, untuk mencatat Waktu dan Memproses penulisan file. Setelah Anda melakukannya, lacak proses menggunakan nestat -ao dan cari PID dari proses yang menulis file. Dari sini temukan Alamat IP yang membuat koneksi ke server Anda dan lanjutkan penyelidikan atau MENYANGKAL koneksi jika Anda menggunakan Windows Built-in Firewall.

Tautan ke FileMon untuk Windows: http://technet.microsoft.com/en-us/sysinternals/bb896642.aspx

PA File Sight dapat membantu Anda di sana. Anda dapat mengatur monitor untuk menonton file yang dibuat di C: \ Aplikasi dapat mencatat waktu pembuatan, proses yang digunakan (dengan asumsi itu adalah proses lokal) dan akun yang digunakan. Itu dapat mencatat data itu ke file log, database, dan / atau mengingatkan Anda secara real time.

Ini adalah produk komersial, tetapi memiliki uji coba 30 hari yang berfungsi penuh yang akan bekerja untuk Anda.

Pengungkapan penuh: Saya bekerja untuk perusahaan yang membuat PA File Sight.

sedikit lebih banyak detail akan membantu; Versi Windows, nama file, teks atau biner? Bisakah mereka diganti namanya / dihapus atau mereka terkunci digunakan? Banyak kali ini akan menunjuk pada apa program ligit menambahkan file. Anda dapat menjalankan strings.exe dan mencari petunjuk jika ini adalah file biner.

Jika ini merupakan drive NTFS, Anda dapat memeriksa tab keamanan dan di bawah lanjutan / pemilik, untuk melihat siapa yang membuat. Proses explorer dari sysinternals.com juga akan memberikan petunjuk.