ฉันมีไฟล์ไวรัสบางไฟล์ที่สร้างขึ้นแบบสุ่มบน root ของ ac: ดิสก์ของเซิร์ฟเวอร์ใดเซิร์ฟเวอร์หนึ่งของฉัน ฉันจะรู้ได้อย่างไรว่าอะไรสร้างขึ้นมา? ซอฟต์แวร์ของบุคคลที่สามบางอย่างอาจจะ?
ฉันมีไฟล์ไวรัสบางไฟล์ที่สร้างขึ้นแบบสุ่มบน root ของ ac: ดิสก์ของเซิร์ฟเวอร์ใดเซิร์ฟเวอร์หนึ่งของฉัน ฉันจะรู้ได้อย่างไรว่าอะไรสร้างขึ้นมา? ซอฟต์แวร์ของบุคคลที่สามบางอย่างอาจจะ?
คำตอบ:
ดูที่แท็บ "เจ้าของ" ภายใต้คุณสมบัติ "ขั้นสูง" ของหน้าคุณสมบัติ "ความปลอดภัย" ของแผ่นคุณสมบัติของไฟล์ อย่างไรก็ตามอัตราต่อรองเป็นสิ่งที่ดีที่คุณจะเห็น "ผู้ดูแลระบบ" ในฐานะเจ้าของ (ซึ่งจะไม่เป็นประโยชน์มากเกินไป)
ฟังก์ชั่นการตรวจสอบบัญชีใน Windows สามารถช่วยสิ่งนี้ได้ แต่มันสร้างข้อมูลจำนวนมากที่ดูเหมือนจะไร้ประโยชน์ที่มันใช้งานได้จริงไม่คุ้มค่า
สมมติว่าวินาทีที่สิ่งที่เคยสร้างไฟล์เหล่านี้ไม่เป็นอันตราย:
อย่างไรก็ตามหากสิ่งที่สร้างไฟล์เหล่านี้เป็นอันตรายมันจะดำเนินการตามขั้นตอนเพื่อป้องกันคุณ (การซ่อนไฟล์การซ่อนกระบวนการทำให้งงงวย ฯลฯ )
คุณสามารถใช้ยูทิลิตี้บางอย่างที่นี่เพื่อตรวจสอบรูทคิท: รายการเครื่องมือตรวจจับและกำจัดรูทคิต ของ Windows
แต่ถ้ามันเป็นเจ้าของเซิร์ฟเวอร์คุณรู้ว่ามันเป็นเจ้าของและคุณไม่รู้ว่าพวกเขาเข้าไปได้อย่างไร: ถึงเวลาแล้วที่จะต้องเริ่มสร้างใหม่อีกครั้งและเปิดใช้งานแผนการตอบสนองเหตุการณ์ใด ๆ ที่คุณอาจมี
คุณยังสามารถใช้ FileMon สำหรับ Windows เพื่อบันทึกเวลาและกระบวนการที่เขียนไฟล์ เมื่อคุณทำเช่นนั้นติดตามกระบวนการโดยใช้ Nestat -ao และค้นหา PID ของกระบวนการที่เขียนไฟล์ จากที่นี่ค้นหาที่อยู่ IP ที่ทำให้การเชื่อมต่อกับเซิร์ฟเวอร์ของคุณและดำเนินการตรวจสอบหรือปฏิเสธการเชื่อมต่อหากคุณใช้ Windows Built-in Firewall
ลิงก์ไปที่ FileMon สำหรับ Windows: http://technet.microsoft.com/en-us/sysinternals/bb896642.aspx
สายตาไฟล์ PAสามารถช่วยคุณได้ คุณสามารถตั้งค่าจอภาพเพื่อดูไฟล์ที่สร้างขึ้นใน C: \ แอปสามารถบันทึกเวลาการสร้างกระบวนการที่ใช้ (สมมติว่าเป็นกระบวนการในตัวเครื่อง) และบัญชีที่ใช้ สามารถบันทึกข้อมูลนั้นไปยังไฟล์บันทึกฐานข้อมูลและ / หรือแจ้งเตือนคุณแบบเรียลไทม์
มันเป็นผลิตภัณฑ์เชิงพาณิชย์ แต่มีการทดลองใช้ 30 วันเต็มรูปแบบที่เหมาะกับคุณ
การเปิดเผยแบบเต็ม: ฉันทำงานให้กับ บริษัท ที่สร้าง PA File Sight
รายละเอียดเพิ่มเติมเล็กน้อยจะช่วยได้; เวอร์ชั่น Windows, ชื่อไฟล์, ข้อความหรือไบนารี? พวกเขาสามารถเปลี่ยนชื่อ / ลบหรือพวกเขาถูกล็อคการใช้งาน? หลายครั้งสิ่งนี้จะชี้ไปที่โปรแกรม ligit เพิ่มไฟล์ คุณสามารถเรียกใช้ strings.exe และค้นหาเบาะแสหากเป็นไฟล์ไบนารี
หากเป็นไดรฟ์ NTFS คุณสามารถตรวจสอบแท็บความปลอดภัยและภายใต้ขั้นสูง / เจ้าของเพื่อดูว่าใครสร้าง กระบวนการสำรวจจาก sysinternals.com จะให้เบาะแส