как узнать что создал файл?

У меня есть несколько файлов вирусов, случайно созданных в корневом каталоге ac: disk одного из моих серверов. Как я могу узнать, что его создало? Может быть, какое-то стороннее программное обеспечение?

Взгляните на вкладку «Владелец» под «Расширенные» свойства на странице свойств «Безопасность» на странице свойств файла. Тем не менее, есть хорошие шансы, что вы будете видеть «Администраторы» в качестве владельца (что не будет слишком полезно).

Функциональность аудита в Windows может помочь с такими вещами, но она генерирует такие большие объемы данных, которые кажутся бесполезными, что, собственно говоря, того не стоит.

Давайте на секунду предположим, что то, что когда-либо создает эти файлы, не является вредоносным:

• Вы можете посмотреть на владельца, чтобы увидеть, какой пользователь создал файлы
• Затем используйте что-то вроде Sysinternals Process Explorer для просмотра процессов, запущенных под этим пользователем (щелкните правой кнопкой мыши столбцы и выберите «Имя пользователя» на вкладке «Образ процесса»).
• Затем посмотрите на дескрипторы, которые есть у каждого из этих процессов (Перейти к меню просмотра, установите флажок «Показать нижнюю панель, измените« Вид нижней панели »на« Ручки »), один из них может иметь дескриптор, открытый для странных файлов, которые вы видите

Однако, если то, что создает эти файлы, является вредоносным, оно предпримет шаги, чтобы помешать вам. (Скрытие файлов, скрытие процессов, запутывание и т. Д.)

Вы можете использовать некоторые утилиты для проверки наличия руткитов: Список средств обнаружения и удаления руткитов Windows

Но если сервер принадлежал, вы знаете, что он принадлежал, и вы не знаете, как он вошел: пришло время начать его перестраивать и активировать любой план реагирования на инциденты, который у вас может быть.

Вы также можете использовать FileMon для Windows, чтобы регистрировать время и процесс записи файла. Как только вы это сделаете, отследите процесс, используя nestat -ao, и найдите PID процесса, который написал файл. Отсюда найдите IP-адрес, который устанавливает соединение с вашим сервером, и продолжите расследование или ОТКЛЮЧИТЕ соединение, если вы используете встроенный брандмауэр Windows.

Ссылка на FileMon для Windows: http://technet.microsoft.com/en-us/sysinternals/bb896642.aspx

PA File Sight может помочь вам в этом. Вы можете настроить монитор для просмотра созданных файлов в C: \ Приложение может регистрировать время создания, используемый процесс (при условии, что это локальный процесс) и используемую учетную запись. Он может записывать эти данные в файл журнала, базу данных и / или предупреждать вас в режиме реального времени.

Это коммерческий продукт, но у него есть полнофункциональная 30-дневная пробная версия, которая подойдет вам.

Полное раскрытие: я работаю в компании, которая создала PA File Sight.

немного больше деталей поможет; Версия для Windows, имя файла (ов), текстовое или двоичное? Могут ли они быть переименованы / удалены или они заблокированы в использовании? Много раз это будет указывать на то, что программа ligit добавила файл. Вы можете запустить strings.exe и искать подсказки, если это бинарный файл.

Если это диск NTFS, вы можете проверить вкладку безопасности и в разделе «Дополнительно / владелец», чтобы увидеть, кто создал. Исследователь процессов из sysinternals.com также даст подсказки.