Wie finde ich heraus, was eine Datei erstellt hat?

12

Ich habe einige Virendateien, die zufällig im Stammverzeichnis von ac: disk eines meiner Server erstellt werden. Wie kann ich herausfinden, was es geschaffen hat? Vielleicht Software von Drittanbietern?

Boris Vezmar
quelle

Antworten:

10

Sehen Sie sich die Registerkarte "Eigentümer" unter den Eigenschaften "Erweitert" auf der Eigenschaftenseite "Sicherheit" des Eigenschaftenblatts der Datei an. Die Chancen stehen jedoch gut, dass Sie "Administratoren" als Eigentümer sehen (was nicht allzu hilfreich sein wird).

Die Auditing-Funktionalität in Windows kann dabei helfen, erzeugt aber so viele scheinbar nutzlose Daten, dass es sich praktisch nicht lohnt.

Evan Anderson
quelle
Besitzer ist Gast! :) Ich weiß nicht, wie dieses Gastding meine Aufmerksamkeit verfehlt hatte! Jetzt weiß ich, dass ein anderer Computer aus dem Netzwerk meinen Server "bombardiert". Vielen Dank!
Boris Vezmar
Besser ist es, wenn das Gastkonto gesperrt ist und überprüft wird, dass sie Ihrem Computer keine bösen Dinge angetan haben. Wenn sie Dateien im Stammverzeichnis erstellen, kann es zu ernsthaften Problemen kommen.
Evan Anderson
Sie haben den Conficker-Virus in meinen Server geschoben, aber er konnte sich nirgendwo anders verbreiten. Ich fand alle Reste von Conficker und entfernte alles. Danke
Boris Vezmar
3

Nehmen wir für eine Sekunde an, dass das, was diese Dateien erstellt, nicht böswillig ist:

  • Sie können sich den Eigentümer ansehen, um zu sehen, von welchem ​​Benutzer die Dateien erstellt wurden
  • Verwenden Sie dann so etwas wie Sysinternals Process Explorer, um die Prozesse anzuzeigen, die unter diesem Benutzer ausgeführt werden. (Klicken Sie mit der rechten Maustaste auf die Spalten und aktivieren Sie "Benutzername" auf der Registerkarte "Prozessabbild"
  • Schauen Sie sich dann die Handles an, über die jeder dieser Prozesse verfügt (Menü "Gehe zu Ansicht", Aktivieren Sie "Niedrigen Bereich anzeigen", Ändern Sie "Niedrigen Bereich" in "Handles"). In einem der Prozesse ist möglicherweise ein Handle für die seltsamen Dateien geöffnet, die Sie sehen

Wenn jedoch das, was diese Dateien erstellt, bösartig ist, werden Schritte unternommen, um Sie zu vereiteln. (Ausblenden von Dateien, Verstecken von Prozessen, Verschleierung usw.)

Sie können einige der hier aufgeführten Dienstprogramme verwenden, um nach Rootkits zu suchen: Eine Liste der Tools zur Erkennung und Entfernung von Windows-Rootkits

Aber wenn der Server im Besitz des Servers war, wissen Sie, dass er im Besitz des Servers war, und Sie wissen nicht, wie er eingedrungen ist: Es ist Zeit, ihn neu zu erstellen und einen eventuellen Notfallplan zu aktivieren.

Bob
quelle
Ja, Ihre Antwort ist der nächste logische Schritt nach dem, was Evan Anderson vorgeschlagen hat, und es ist die Lösung für diesen Fall!
Boris Vezmar
2

Sie können auch FileMon für Windows verwenden, um die Zeit und den Prozess zu protokollieren, für den der Dateischreibvorgang festgeschrieben wurde. Verfolgen Sie den Prozess anschließend mit nestat -ao und suchen Sie nach der PID des Prozesses, der die Datei geschrieben hat. Suchen Sie von hier aus die IP-Adresse, die die Verbindung zu Ihrem Server herstellt, und setzen Sie die Untersuchung fort, oder VERWEIGERN Sie die Verbindung, wenn Sie die integrierte Windows-Firewall verwenden.

Link zu FileMon für Windows: http://technet.microsoft.com/en-us/sysinternals/bb896642.aspx

jeffp711
quelle
FileMon wird durch dieses ersetzt technet.microsoft.com/en-us/sysinternals/bb896645
Charles
2

PA File Sight könnte Ihnen da weiterhelfen. Sie können einen Monitor einrichten, um die in C: \ erstellten Dateien zu überwachen. Die App kann die Erstellungszeit, den verwendeten Prozess (sofern es sich um einen lokalen Prozess handelt) und das verwendete Konto protokollieren. Es kann diese Daten in einer Protokolldatei, einer Datenbank und / oder in Echtzeit protokollieren.

Es ist ein kommerzielles Produkt, hat aber eine voll funktionsfähige 30-Tage-Testversion, die für Sie funktionieren würde.

Vollständige Offenlegung: Ich arbeite für das Unternehmen, das PA File Sight erstellt hat.

DougN
quelle
HMMM, sehr interessante Software! Ich werde es versuchen :)
Boris Vezmar
0

ein bisschen mehr Details würden helfen; Windows-Version, Name der Datei (en), Text oder Binärdatei? Können sie umbenannt / gelöscht werden oder sind sie gesperrt? Oft zeigt dies an, welches Ligit-Programm die Datei hinzugefügt hat. Sie können strings.exe ausführen und nach Hinweisen suchen, wenn es sich um eine Binärdatei handelt.

Wenn es sich um ein NTFS-Laufwerk handelt, können Sie auf der Registerkarte Sicherheit unter Erweitert / Eigentümer nachsehen, wer das erstellt hat. Der Process Explorer von sysinternals.com wird ebenfalls Hinweise geben.


quelle