como descobrir o que criou um file?

Eu tenho alguns files de vírus sendo criados aleatoriamente na raiz do ac: disco de um dos meus serveres. Como posso descobrir o que o criou? Algum softwaire de terceiros talvez?

Dê uma olhada na guia "Proprietário" nas properties "Avançadas" da página de properties "Segurança" da folha de properties do file. As chances são boas, porém, de que você vai view "Administradores" como o proprietário (o que não será muito útil).

A funcionalidade de auditoria no Windows pode ajudair com esse tipo de coisa, mas gera tantos volumes de dados apairentemente inúteis que, praticamente falando, não valem a pena.

Vamos supor por um segundo que o que nunca está criando esses files não é mal-intencionado:

  • Você pode observair o proprietário paira view o que o user criou os files
  • Em seguida, use algo como o Sysinternals Process Explorer paira visualizair os processs que estão sendo executados nesse user (clique com o button direito do mouse nas colunas e mairque "Nome do user" na guia "Process Image"
  • Em seguida, veja as alças que cada um desses processs possui (menu Ir paira visualizair, viewifique "Mostrair baixo painel, Mudair" Vista do painel inferior "paira" alças "), um deles pode ter uma alça aberta paira os files estranhos que você está vendo

No entanto, se o que quer que esteja criando esses files é malicioso, serão tomadas medidas paira frustrair você. (Esconder o file, ocultair o process, ofuscair, etc.)

Você pode usair alguns dos utilitários aqui paira viewificair se há rootkits: uma list de ferramentas de detecção e remoção de rootkit do Windows

Mas se o server foi de propriedade, você sabe que foi de propriedade, e você não sabe como eles entrairam: é hora de começair a reconstruí-lo e ativair qualquer plano de resposta a incidentes que você possa ter.

Você também pode utilizair o FileMon paira Windows, paira registrair o Tempo e o Processo, a gravação do file foi cometida. Depois de fazer isso, rastreie o process usando nestat -ao e procure o PID do process que escreveu o file. A pairtir daqui, find o endereço IP que está fazendo a connection ao seu server e continue a investigação ou DENY a connection, se você estiview usando o Windows Built-in Firewall.

Link paira FileMon paira Windows: http://technet.microsoft.com/en-us/sysinternals/bb896642.aspx

O PA File Sight pode ajudá-lo. Você pode configurair um monitor paira view o file criair em C: \ O aplicativo pode registrair o tempo de criação, o process usado (assumindo que é um process local) e a conta usada. Ele pode registrair esses dados em um file de log, database e / ou alertá-lo em tempo real.

É um produto comercial, mas tem um teste de 30 dias totalmente funcional que funcionairia paira você.

Divulgação completa: trabalho paira a empresa que criou o PA File Sight.

um pouco mais de detalhes ajudairia; Versão do Windows, nome do file (s), text ou binary? Eles podem ser renomeados / excluídos ou eles estão bloqueados em uso? Muitas vezes isso irá indicair o que o programa ligit adicionou o file. Você pode executair strings.exe e procurair pistas se for um file binary.

Se for uma unidade NTFS, você pode viewificair a guia de security e abaixo / proprietário avançado, paira view quem criou. O explorador de processs da sysinternals.com também dairá pistas.