Làm thế nào để tìm ra những gì đã tạo ra một tập tin?

Tôi có một số tệp vi-rút được tạo ngẫu nhiên trên thư mục gốc của ac: đĩa của một trong các máy chủ của tôi. Làm thế nào tôi có thể tìm ra những gì đã tạo ra nó? Một số phần mềm bên thứ 3 có thể?

Hãy xem tab "Chủ sở hữu" trong thuộc tính "Nâng cao" của trang thuộc tính "Bảo mật" của trang thuộc tính của tệp. Tuy nhiên, điều lạ là bạn sẽ thấy "Quản trị viên" là chủ sở hữu (điều này sẽ không quá hữu ích).

Chức năng kiểm toán trong Windows có thể giúp với loại điều này, nhưng nó tạo ra một khối lượng lớn dữ liệu dường như vô dụng đến nỗi, thực tế mà nói, không đáng.

Chúng ta hãy giả sử rằng những gì đang tạo ra các tệp này không phải là độc hại:

• Bạn có thể nhìn vào chủ sở hữu để xem những gì người dùng đã tạo các tệp
• Sau đó, sử dụng một cái gì đó như Sysiternals Process Explorer để xem các quy trình đang chạy bên dưới người dùng đó (Nhấp chuột phải vào các cột và kiểm tra "Tên người dùng" trên tab "Hình ảnh quá trình"
• Sau đó nhìn vào các tay cầm mà mỗi quy trình này có (Menu Goto View, Kiểm tra "Hiển thị ngăn thấp, thay đổi" Chế độ xem dưới "thành" Xử lý "), một trong số chúng có thể mở một tay cầm cho các tệp lạ mà bạn đang thấy

Tuy nhiên, nếu bất cứ điều gì đang tạo ra các tệp này là độc hại, nó sẽ thực hiện các bước để cản trở bạn. (Ẩn tập tin, ẩn quá trình, obfuscation, v.v.)

Bạn có thể sử dụng một số tiện ích tại đây để kiểm tra rootkit: Danh sách các công cụ phát hiện và loại bỏ rootkit Windows

Nhưng nếu máy chủ đã được sở hữu, bạn sẽ biết nó đã được sở hữu và bạn không biết họ đã tham gia như thế nào: Đã đến lúc bắt đầu xây dựng lại nó và kích hoạt bất kỳ kế hoạch ứng phó sự cố nào bạn có thể có.

Bạn cũng có thể sử dụng FileMon cho Windows, để ghi lại Thời gian và Xử lý việc ghi tệp đã được cam kết. Khi bạn thực hiện điều đó, hãy theo dõi quá trình bằng cách sử dụng Nestat -ao và tìm kiếm PID của quá trình đã ghi tệp. Từ đây, tìm Địa chỉ IP tạo kết nối đến máy chủ của bạn và tiếp tục điều tra hoặc từ chối kết nối nếu bạn đang sử dụng Tường lửa tích hợp của Windows.

Liên kết đến FileMon cho Windows: http://technet.microsoft.com/en-us/sysi INTERNals / bb896642.aspx

PA File Sight có thể giúp bạn ở đó. Bạn có thể thiết lập màn hình để xem tệp tạo trong C: \ Ứng dụng có thể ghi lại thời gian tạo, quy trình được sử dụng (giả sử đó là quy trình cục bộ) và tài khoản được sử dụng. Nó có thể ghi dữ liệu đó vào tệp nhật ký, cơ sở dữ liệu và / hoặc cảnh báo bạn trong thời gian thực.

Đây là một sản phẩm thương mại, nhưng có bản dùng thử 30 ngày đầy đủ chức năng sẽ phù hợp với bạn.

Tiết lộ đầy đủ: Tôi làm việc cho công ty đã tạo PA File Sight.

thêm một chút chi tiết sẽ giúp; Phiên bản Windows, tên của tệp, văn bản hoặc nhị phân? Chúng có thể được đổi tên / xóa hoặc chúng bị khóa trong sử dụng? Nhiều lần điều này sẽ chỉ ra những gì chương trình ligit đã thêm tệp. Bạn có thể chạy String.exe và tìm kiếm manh mối nếu đó là tệp nhị phân.

Nếu đó là ổ NTFS, bạn có thể kiểm tra tab bảo mật và theo nâng cao / chủ sở hữu, để xem ai đã tạo. Trình thám hiểm quy trình từ sysiternals.com cũng sẽ đưa ra manh mối.