web-dev-qa-db-fra.com

Comment savoir ce qui a créé un fichier?

J'ai des fichiers de virus créés au hasard sur la racine d'un disque C: Disque d'un de mes serveurs. Comment puis-je savoir ce qui l'a créé? Quelques logiciels tiers peut-être?

windowsmalwarerootkit
12
Boris Vezmar

Regardez l'onglet "Propriétaire" sous les propriétés "Avancé" de la page Propriétés "Security" de la feuille de propriétés du fichier. Les chances sont bonnes, cependant, que vous allez voir des "administrateurs" comme le propriétaire (qui ne sera pas trop utile).

La fonctionnalité d'audit dans Windows peut aider à ce type de chose, mais elle génère de tels volumes de données apparemment inutiles que c'est pratiquement en vaut la peine.

10
Evan Anderson

Supposons une seconde que ce qui crée ces fichiers n'est pas malveillant:

  • Vous pouvez regarder le propriétaire pour voir quel utilisateur a créé les fichiers
  • Ensuite, utilisez quelque chose comme Sysinternals Process Explorer pour afficher les processus qui fonctionnent sous cet utilisateur (cliquez avec le bouton droit de la souris sur les colonnes et cochez "Nom d'utilisateur" dans l'onglet "Image de processus".
  • Ensuite, regardez les poignées que chacun de ces processus a (menu Goto View, Vérifiez "Afficher" Afficher le volet Low, modifier "Vue inférieure du volet" sur "Poignées"), l'un d'entre eux peut avoir une poignée ouverte aux fichiers étranges que vous voyez.

Cependant, si tout ce qui crée ces fichiers est malveillant, il prendra des mesures pour vous contrecarrer. (Cachée de fichiers, cachette de processus, obfuscation, etc.)

Vous pouvez utiliser certains des utilitaires ici pour rechercher des rootkits: ne liste des outils de détection et de suppression de Windows Rootkit

mais si le serveur est appartenant à la propriété, vous savez que cela s'appelait et que vous ne savez pas comment ils ont eu lieu: il est temps de commencer à la reconstruire et d'activer tout plan de réponse incidente que vous avez peut-être .

3
Bob

Vue de fichier PA pourrait vous aider là-bas. Vous pouvez configurer un moniteur pour regarder le fichier crée en C:\L'application peut enregistrer le temps de création, le processus utilisé (en supposant que c'est un processus local) et le compte utilisé. Il peut enregistrer ces données dans un fichier journal, une base de données et/ou vous alerter en temps réel.

C'est un produit commercial, mais dispose d'un essai de 30 jours entièrement fonctionnel qui fonctionnerait pour vous.

Divulgation complète: je travaille pour la société qui a créé la vue du fichier PA.

2
DougN

Vous pouvez également utiliser FileMon pour Windows, pour vous connecter l'heure et traiter l'écriture du fichier commis. Une fois que vous le faites, suivez le processus en utilisant Nestat -Ao et recherchez le PID du processus qui a écrit le fichier. À partir de là, trouvez l'adresse IP qui effectue la connexion à votre serveur et continuez l'enquête ou refusez la connexion si vous utilisez un pare-feu intégré Windows.

Lien vers FileMon pour Windows: http://technet.microsoft.com/en-us/sysinternals/bb896642.aspx

2
jeffp711