come scoprire cosa ha creato un file?

Ho alcuni file di virus creati casualmente su root di ac: disk di uno dei miei server. Come posso scoprire cosa l'ha creato? Qualche software di terze parti forse?

Dai un'occhiata alla scheda "Proprietario" sotto le proprietà "Avanzate" della pagina delle proprietà "Sicurezza" della finestra delle proprietà del file. Le probabilità sono buone, tuttavia, che vedrai "Amministratori" come il proprietario (che non sarà troppo utile).

La funzionalità di controllo in Windows può aiutare in questo genere di cose, ma genera così grandi volumi di dati apparentemente inutili che, in pratica, non ne vale la pena.

Supponiamo per un secondo che ciò che mai sta creando questi file non sia dannoso:

• Puoi guardare il proprietario per vedere quale utente ha creato i file
• Quindi utilizzare qualcosa come Sysinternals Process Explorer per visualizzare i processi in esecuzione sotto quell'utente (fare clic destro sulle colonne e selezionare "Nome utente" nella scheda "Immagine processo"
• Quindi guarda le maniglie di ognuno di questi processi (Vai al menu Visualizza, Seleziona "Mostra riquadro inferiore, Cambia" Vista riquadro inferiore "in" Maniglie "), uno di essi potrebbe avere una maniglia aperta agli strani file che stai vedendo

Tuttavia, se qualsiasi cosa stia creando questi file è dannosa, ci vorranno dei passaggi per contrastarti. (Nascondersi file, nascondere processi, offuscamento, ecc.)

È possibile utilizzare alcune delle utilità qui per verificare la presenza di rootkit: un elenco di strumenti di rilevamento e rimozione di rootkit di Windows

Ma se il server è stato posseduto, sai che è stato posseduto e non sai come sono entrati: è tempo di iniziare a ricostruirlo e ad attivare qualsiasi piano di risposta agli incidenti che potresti avere.

È inoltre possibile utilizzare FileMon per Windows per registrare l'ora e il processo di scrittura del file. Una volta fatto ciò, rintraccia il processo usando nestat -ao e cerca il PID del processo che ha scritto il file. Da qui trova l'indirizzo IP che sta effettuando la connessione al tuo server e continua l'indagine o DENY la connessione se stai utilizzando il firewall integrato di Windows.

Collegamento a FileMon per Windows: http://technet.microsoft.com/en-us/sysinternals/bb896642.aspx

PA File Sight potrebbe aiutarti. Puoi impostare un monitor per guardare la creazione dei file in C: \ L'app può registrare l'ora di creazione, il processo utilizzato (presupponendo che sia un processo locale) e l'account utilizzato. Può registrare tali dati in un file di registro, database e / o avvisare l'utente in tempo reale.

È un prodotto commerciale, ma ha una prova completamente funzionale di 30 giorni che funzionerebbe per te.

Divulgazione completa: lavoro per la società che ha creato PA File Sight.

un po 'più di dettagli aiuterebbe; Versione di Windows, nome del file (s), testo o binario? Possono essere rinominati / eliminati o sono bloccati in uso? Molte volte questo indicherà quale programma ligit ha aggiunto il file. Puoi eseguire strings.exe e cercare indizi se si tratta di un file binario.

Se si tratta di un'unità NTFS, è possibile controllare la scheda di sicurezza e in avanzato / proprietario, per vedere chi ha creato. Anche Process Explorer di sysinternals.com fornirà indizi.