Wie finde ich heraus, was eine Datei erstellt hat?

Ich habe einige Virendateien, die zufällig im Stammverzeichnis von ac: disk eines meiner Server erstellt werden. Wie kann ich herausfinden, was es geschaffen hat? Vielleicht Software von Drittanbietern?

Sehen Sie sich die Registerkarte "Eigentümer" unter den Eigenschaften "Erweitert" auf der Eigenschaftenseite "Sicherheit" des Eigenschaftenblatts der Datei an. Die Chancen stehen jedoch gut, dass Sie "Administratoren" als Eigentümer sehen (was nicht allzu hilfreich sein wird).

Die Auditing-Funktionalität in Windows kann dabei helfen, erzeugt aber so viele scheinbar nutzlose Daten, dass es sich praktisch nicht lohnt.

Nehmen wir für eine Sekunde an, dass das, was diese Dateien erstellt, nicht böswillig ist:

• Sie können sich den Eigentümer ansehen, um zu sehen, von welchem ​​Benutzer die Dateien erstellt wurden
• Verwenden Sie dann so etwas wie Sysinternals Process Explorer, um die Prozesse anzuzeigen, die unter diesem Benutzer ausgeführt werden. (Klicken Sie mit der rechten Maustaste auf die Spalten und aktivieren Sie "Benutzername" auf der Registerkarte "Prozessabbild"
• Schauen Sie sich dann die Handles an, über die jeder dieser Prozesse verfügt (Menü "Gehe zu Ansicht", Aktivieren Sie "Niedrigen Bereich anzeigen", Ändern Sie "Niedrigen Bereich" in "Handles"). In einem der Prozesse ist möglicherweise ein Handle für die seltsamen Dateien geöffnet, die Sie sehen

Wenn jedoch das, was diese Dateien erstellt, bösartig ist, werden Schritte unternommen, um Sie zu vereiteln. (Ausblenden von Dateien, Verstecken von Prozessen, Verschleierung usw.)

Sie können einige der hier aufgeführten Dienstprogramme verwenden, um nach Rootkits zu suchen: Eine Liste der Tools zur Erkennung und Entfernung von Windows-Rootkits

Aber wenn der Server im Besitz des Servers war, wissen Sie, dass er im Besitz des Servers war, und Sie wissen nicht, wie er eingedrungen ist: Es ist Zeit, ihn neu zu erstellen und einen eventuellen Notfallplan zu aktivieren.

Sie können auch FileMon für Windows verwenden, um die Zeit und den Prozess zu protokollieren, für den der Dateischreibvorgang festgeschrieben wurde. Verfolgen Sie den Prozess anschließend mit nestat -ao und suchen Sie nach der PID des Prozesses, der die Datei geschrieben hat. Suchen Sie von hier aus die IP-Adresse, die die Verbindung zu Ihrem Server herstellt, und setzen Sie die Untersuchung fort, oder VERWEIGERN Sie die Verbindung, wenn Sie die integrierte Windows-Firewall verwenden.

Link zu FileMon für Windows: http://technet.microsoft.com/en-us/sysinternals/bb896642.aspx

PA File Sight könnte Ihnen da weiterhelfen. Sie können einen Monitor einrichten, um die in C: \ erstellten Dateien zu überwachen. Die App kann die Erstellungszeit, den verwendeten Prozess (sofern es sich um einen lokalen Prozess handelt) und das verwendete Konto protokollieren. Es kann diese Daten in einer Protokolldatei, einer Datenbank und / oder in Echtzeit protokollieren.

Es ist ein kommerzielles Produkt, hat aber eine voll funktionsfähige 30-Tage-Testversion, die für Sie funktionieren würde.

Vollständige Offenlegung: Ich arbeite für das Unternehmen, das PA File Sight erstellt hat.

ein bisschen mehr Details würden helfen; Windows-Version, Name der Datei (en), Text oder Binärdatei? Können sie umbenannt / gelöscht werden oder sind sie gesperrt? Oft zeigt dies an, welches Ligit-Programm die Datei hinzugefügt hat. Sie können strings.exe ausführen und nach Hinweisen suchen, wenn es sich um eine Binärdatei handelt.

Wenn es sich um ein NTFS-Laufwerk handelt, können Sie auf der Registerkarte Sicherheit unter Erweitert / Eigentümer nachsehen, wer das erstellt hat. Der Process Explorer von sysinternals.com wird ebenfalls Hinweise geben.