วิธีการค้นหาสิ่งที่สร้างไฟล์?

12

ฉันมีไฟล์ไวรัสบางไฟล์ที่สร้างขึ้นแบบสุ่มบน root ของ ac: ดิสก์ของเซิร์ฟเวอร์ใดเซิร์ฟเวอร์หนึ่งของฉัน ฉันจะรู้ได้อย่างไรว่าอะไรสร้างขึ้นมา? ซอฟต์แวร์ของบุคคลที่สามบางอย่างอาจจะ?

windows  malware  rootkit 
Boris Vezmar
แหล่งที่มา

คำตอบ:

10

ดูที่แท็บ "เจ้าของ" ภายใต้คุณสมบัติ "ขั้นสูง" ของหน้าคุณสมบัติ "ความปลอดภัย" ของแผ่นคุณสมบัติของไฟล์ อย่างไรก็ตามอัตราต่อรองเป็นสิ่งที่ดีที่คุณจะเห็น "ผู้ดูแลระบบ" ในฐานะเจ้าของ (ซึ่งจะไม่เป็นประโยชน์มากเกินไป)

ฟังก์ชั่นการตรวจสอบบัญชีใน Windows สามารถช่วยสิ่งนี้ได้ แต่มันสร้างข้อมูลจำนวนมากที่ดูเหมือนจะไร้ประโยชน์ที่มันใช้งานได้จริงไม่คุ้มค่า

Evan Anderson
แหล่งที่มา
เจ้าของคือแขก! :) ฉันไม่รู้ว่าแขกรับเชิญนั้นพลาดความสนใจของฉันไป! ตอนนี้ฉันรู้ว่าคอมพิวเตอร์อื่น ๆ จากเครือข่าย "ระเบิด" เซิร์ฟเวอร์ของฉัน ขอบคุณ!
Boris Vezmar
ดีกว่าบัญชี Guest ล็อคและตรวจสอบว่าพวกเขาไม่ได้ทำสิ่งที่น่ารังเกียจให้กับเครื่องของคุณ หากพวกเขากำลังสร้างไฟล์ในไดเรกทอรีรากคุณอาจมีระเบียบมือของคุณ
Evan Anderson
พวกเขาผลักไวรัส conficker ลงในเซิร์ฟเวอร์ของฉัน แต่มันไม่สามารถแพร่กระจายไปที่อื่นได้ ฉันพบว่าส่วนที่เหลือทั้งหมดของความสับสนและลบมันทั้งหมด ขอบคุณ
Boris Vezmar
3

สมมติว่าวินาทีที่สิ่งที่เคยสร้างไฟล์เหล่านี้ไม่เป็นอันตราย:

  • คุณสามารถดูเจ้าของเพื่อดูสิ่งที่ผู้ใช้สร้างไฟล์
  • จากนั้นใช้บางอย่างเช่น Sysinternals Process Explorer เพื่อดูกระบวนการที่ทำงานอยู่ภายใต้ผู้ใช้นั้น (คลิกขวาที่คอลัมน์และเลือก "ชื่อผู้ใช้" ในแท็บ "ภาพกระบวนการ"
  • จากนั้นดูที่จุดจับที่แต่ละกระบวนการเหล่านี้มี (ไปที่เมนูมุมมองไปที่ "แสดงบานหน้าต่างต่ำเปลี่ยน" มุมมองบานหน้าต่างล่าง "เป็น" จัดการ ") หนึ่งในนั้นอาจมีจุดจับเปิดไฟล์แปลก ๆ ที่คุณเห็น

อย่างไรก็ตามหากสิ่งที่สร้างไฟล์เหล่านี้เป็นอันตรายมันจะดำเนินการตามขั้นตอนเพื่อป้องกันคุณ (การซ่อนไฟล์การซ่อนกระบวนการทำให้งงงวย ฯลฯ )

คุณสามารถใช้ยูทิลิตี้บางอย่างที่นี่เพื่อตรวจสอบรูทคิท: รายการเครื่องมือตรวจจับและกำจัดรูทคิต ของ Windows

แต่ถ้ามันเป็นเจ้าของเซิร์ฟเวอร์คุณรู้ว่ามันเป็นเจ้าของและคุณไม่รู้ว่าพวกเขาเข้าไปได้อย่างไร: ถึงเวลาแล้วที่จะต้องเริ่มสร้างใหม่อีกครั้งและเปิดใช้งานแผนการตอบสนองเหตุการณ์ใด ๆ ที่คุณอาจมี

ผมบ๊อบ
แหล่งที่มา
ใช่คำตอบของคุณคือขั้นตอนตรรกะถัดไปหลังจากที่ Evan Anderson แนะนำและมันก็เป็นทางออกสำหรับกรณีนี้!
Boris Vezmar
2

คุณยังสามารถใช้ FileMon สำหรับ Windows เพื่อบันทึกเวลาและกระบวนการที่เขียนไฟล์ เมื่อคุณทำเช่นนั้นติดตามกระบวนการโดยใช้ Nestat -ao และค้นหา PID ของกระบวนการที่เขียนไฟล์ จากที่นี่ค้นหาที่อยู่ IP ที่ทำให้การเชื่อมต่อกับเซิร์ฟเวอร์ของคุณและดำเนินการตรวจสอบหรือปฏิเสธการเชื่อมต่อหากคุณใช้ Windows Built-in Firewall

ลิงก์ไปที่ FileMon สำหรับ Windows: http://technet.microsoft.com/en-us/sysinternals/bb896642.aspx

jeffp711
แหล่งที่มา
FileMon ถูกแทนที่ด้วยหนึ่งtechnet.microsoft.com/en-us/sysinternals/bb896645
charles
2

สายตาไฟล์ PAสามารถช่วยคุณได้ คุณสามารถตั้งค่าจอภาพเพื่อดูไฟล์ที่สร้างขึ้นใน C: \ แอปสามารถบันทึกเวลาการสร้างกระบวนการที่ใช้ (สมมติว่าเป็นกระบวนการในตัวเครื่อง) และบัญชีที่ใช้ สามารถบันทึกข้อมูลนั้นไปยังไฟล์บันทึกฐานข้อมูลและ / หรือแจ้งเตือนคุณแบบเรียลไทม์

มันเป็นผลิตภัณฑ์เชิงพาณิชย์ แต่มีการทดลองใช้ 30 วันเต็มรูปแบบที่เหมาะกับคุณ

การเปิดเผยแบบเต็ม: ฉันทำงานให้กับ บริษัท ที่สร้าง PA File Sight

DougN
แหล่งที่มา
HMMM ซอฟต์แวร์ที่น่าสนใจมาก! ฉันจะให้มันลอง :)
บอริส Vezmar
0

รายละเอียดเพิ่มเติมเล็กน้อยจะช่วยได้; เวอร์ชั่น Windows, ชื่อไฟล์, ข้อความหรือไบนารี? พวกเขาสามารถเปลี่ยนชื่อ / ลบหรือพวกเขาถูกล็อคการใช้งาน? หลายครั้งสิ่งนี้จะชี้ไปที่โปรแกรม ligit เพิ่มไฟล์ คุณสามารถเรียกใช้ strings.exe และค้นหาเบาะแสหากเป็นไฟล์ไบนารี

หากเป็นไดรฟ์ NTFS คุณสามารถตรวจสอบแท็บความปลอดภัยและภายใต้ขั้นสูง / เจ้าของเพื่อดูว่าใครสร้าง กระบวนการสำรวจจาก sysinternals.com จะให้เบาะแส

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.