ไฟล์ NTUSER.DAT และ UsrClass.dat สร้างขึ้นโดยหลักพันทำไมและฉันจะลบได้อย่างไร


14

ฉันสังเกตเห็นว่าเว็บเซิร์ฟเวอร์ 2008 Xen VM ของฉันค่อยๆสูญเสียพื้นที่ว่าง - มากกว่าที่ฉันจะคิดจากการใช้งานปกติและตัดสินใจที่จะตรวจสอบ

มีปัญหาสองด้าน:

*C:\Users\Administrator\ (6,755.0 MB)*

with files: 

NTUSER.DAT{randomness}.TMContainer'0000 randomness'.regtrans-ms
NTUSER.DAT{randomness}.TM.blf

และ

C:\Users\Administrator\AppData\Local\Microsoft\Windows\ (6,743.8 MB)

with files

UsrClass.dat{randomness}.TMContainer'0000 randomness'.regtrans-ms
UsrClass.dat{randomness}.TM.blf

จากสิ่งที่ฉันเข้าใจเหล่านี้เป็นการสำรองข้อมูลในเวลาของการเปลี่ยนแปลงรีจิสทรี หากเป็นกรณีนี้ฉันไม่สามารถเข้าใจได้ว่าทำไมจะมีการเปลี่ยนแปลงมากกว่า 10,000 รายการ (นั่นคือจำนวนไฟล์ที่มีต่อตำแหน่งโฟลเดอร์, มากกว่า 20,000 ต่อโฟลเดอร์โดยรวม)

ไฟล์กำลังใช้พื้นที่เกือบ 15GB และฉันต้องการกำจัดพวกมันฉันแค่สงสัยว่าฉันจะลบมันออกได้ไหม อย่างไรก็ตามฉันต้องเข้าใจว่าทำไมพวกเขาถึงถูกสร้างขึ้นเพื่อที่ฉันจะได้หลีกเลี่ยงสิ่งนี้ในอนาคต

ความคิดใดที่ว่าทำไมถึงมีมากมาย มีวิธีที่ฉันสามารถตรวจสอบเพื่อดูว่ามีการปรับเปลี่ยนอะไร?

  • พวกเขาสร้างด้วยความพยายามเข้าสู่ระบบ?
  • พวกเขาสร้างขึ้นเกี่ยวกับการใช้งานเว็บเซิร์ฟเวอร์ทุกวันหรือไม่?
  • ฯลฯ และอื่น ๆ

1
เนื่องจากคุณไม่เชื่อว่ามีการเปลี่ยนแปลงมากมายในขั้นตอนแรกคือการเรียกใช้โปรแกรมป้องกันไวรัสและมัลแวร์สแกนตรวจสอบล็อกสำหรับกิจกรรมที่น่าสงสัยเช่นการเข้าสู่ระบบที่ไม่ควรเกิดขึ้น
John Gardeniers

คำตอบ:


8

พวกเขาไม่ได้สำรองข้อมูลการเปลี่ยนแปลงรีจิสทรีจริง ๆ แล้วมันเป็นการเปลี่ยนแปลงของรีจิสทรีก่อนที่จะมีการเปลี่ยนแปลงรีจิสทรี ประเภทของ.tmpไฟล์สำหรับการเปลี่ยนแปลงรีจิสตรี

เพื่อป้องกันความเสียหายของรีจิสตรีซึ่งเคยเป็นปัญหาที่พบได้บ่อยและน่ารังเกียจใน Windows Windows รุ่นใหม่ที่ต้องทำเมื่อมีการร้องขอการเปลี่ยนแปลงรีจิสตรีได้เขียนการเปลี่ยนแปลงที่ร้องขอไปยังไฟล์ก่อนที่จะทำอะไร (สำหรับการเปลี่ยนแปลงในกลุ่มผู้ใช้ไฟล์เหล่านั้นอยู่ในรูปแบบNTUSER.DAT{GUID}.TMContainer####################.regtrans-msและเรียงตามลำดับ - ย้อนกลับไปไกลพอและคุณควรเห็น00000000000000000001ไฟล์) เมื่อ Windows ระบุว่า "ปลอดภัย" เพื่อเขียนการเปลี่ยนแปลงในรีจิสตรี ทำและหลังจากนั้นมันจะตรวจสอบว่ามีการเปลี่ยนแปลง ณ เวลานั้นมันจะลบไฟล์และย้ายไปยังระบบปฏิบัติการอื่น ๆ เมื่อบางสิ่งบางอย่างในกระบวนการนี้ล้มเหลวคุณก็จะรวมไฟล์เหล่านี้

และอย่างชัดเจนในกรณีของคุณบางสิ่งบางอย่างในกระบวนการนั้นทำงานไม่ถูกต้อง ฉันพนันได้เลยว่าเพนนีน่ารักมากถ้าหากคุณมองผ่านเซิร์ฟเวอร์Event Logsคุณจะเห็นข้อผิดพลาดมากมายเกี่ยวกับเรื่องนี้ในรูปแบบของเหตุการณ์เกี่ยวกับรีจิสทรีที่ถูกล็อคหรือไม่สามารถเขียนการเปลี่ยนแปลงในรีจิสทรีได้ (อาจเป็นไปตามเส้นUnable to open registry for writingหรือFailed to update system registry) สิ่งเหล่านี้สามารถบ่งชี้ถึงปัญหาร้ายแรงหรือเป็นตัวบ่งชี้ว่าบางโปรแกรมของ PITA ต้องการเขียนการเปลี่ยนแปลงรีจิสทรีทุกครั้งที่เปิดตัวและไม่ได้รับอนุญาต

นอกจากนี้ยังมีความเป็นไปได้น้อยกว่าที่การเปลี่ยนแปลงจะถูกเขียน แต่ไม่สามารถลบไฟล์ได้เช่นเดียวกับที่เกิดขึ้นหากการจัดการการล็อคไฟล์ไม่ถูกยกเลิกอย่างถูกต้องหรือหากSYSTEMมีการอนุญาตการเขียน แต่ไม่มีสิทธิ์ในการลบ ตำแหน่งโฟลเดอร์เหล่านั้น

มันอาจช่วยในการติดตามแหล่งที่มาเพื่อทำผลรวม md5 อย่างรวดเร็ว (หรือคล้ายกัน) ของไฟล์เหล่านี้เพื่อดูว่าพวกเขาทั้งหมดหรือเหมือนกันส่วนใหญ่ (ซึ่งจะระบุการเปลี่ยนแปลงเดียวกันล้มเหลวในการเขียนลงในรีจิสทรีซ้ำแล้วซ้ำอีก) หรือหากมีการเปลี่ยนแปลงมากมายซึ่งมีแนวโน้มที่จะบ่งบอกถึงปัญหาร้ายแรง - ว่ากระบวนการไม่สามารถเขียนรีจิสทรีได้หลายกระบวนการหรือโปรไฟล์ผู้ใช้ที่เป็นปัญหาเสียหาย

เมื่อคุณทำการวิเคราะห์เสร็จไฟล์เหล่านี้.blfหรือ.regtrans-msไฟล์ใด ๆที่สร้างขึ้นก่อนการบูตระบบครั้งสุดท้ายจะสามารถลบได้อย่างปลอดภัย ไม่มีวิธีที่พวกเขาจะ (หรือควร) เขียนลงในรีจิสทรีดังนั้นจึงเป็นขยะ

อะไรคือสิ่งที่สร้างพวกเขาอย่างแม่นยำนั่นเป็นสิ่งที่คุณจะต้องติดตามตัวเองเพราะมันอาจจะเป็นอะไรก็ได้ มีความเป็นไปได้ที่บางสิ่งในรหัสเว็บพยายามเขียนการเปลี่ยนแปลงรีจิสทรีทุกครั้งที่มีการเข้าถึงเว็บไซต์ แต่ล้มเหลวเนื่องจากการไม่ได้รับอนุญาต กิจกรรมที่พยายามเขียนลงในรีจิสทรีและขาดการอนุญาตและตามที่ระบุไว้ข้างต้นอาจเป็นไปได้ว่ามีการสร้างและดำเนินการตามปกติ แต่ไม่สามารถลบได้ตามที่ตั้งใจด้วยเหตุผลบางประการ

ตรวจสอบบันทึกทั้งหมดของคุณโดยเฉพาะEvent Logsบันทึก IIS ของคุณเพื่อหาข้อผิดพลาดเกี่ยวกับรีจิสตรีเพื่อ จำกัด ให้แคบลงและหาสาเหตุที่ทำให้เกิดข้อผิดพลาดนี้


ฉันคิดว่ามันจะเป็นเข็มในงานในกองหญ้าโดย คุณได้ให้ฉันอย่างมากที่จะไป เมื่อฉันสามารถนั่งลงและติดตามมันฉันจะทำ แต่ตอนนี้ฉันได้เลือกที่จะเก็บถาวรและลบพวกเขา จากสิ่งที่คุณพูดถึง - ฉันไม่ต้องการเก็บถาวรเพียงแค่ลบพวกเขา? ฉันรู้สึกว่ามันอาจเป็นการตอบสนองต่อความพยายามในการเข้าสู่ระบบผ่าน RDP ปัญหาคือฉันไม่สามารถล็อคการเข้าถึง IP แบบคงที่ได้ ฉันได้เปิดใช้งานไคลเอนต์ RDP ที่ปลอดภัยแล้วเท่านั้นซึ่งมันได้ชะลอความพยายามลงไป ฉันจะเปลี่ยนกลับเมื่อฉันมีข้อมูลเพิ่มเติมเนื่องจากอาจช่วยคนอื่นหากพบสาเหตุ
แอนโธนี

ข้อผิดพลาดอีกอย่างหนึ่งที่ฉันมีคือเว็บเซิร์ฟเวอร์เป็นแม่แบบที่สร้างไว้ล่วงหน้าที่ติดตั้งไว้ล่วงหน้าของสิ่งที่ผู้ให้บริการสร้างขึ้น - พวกเขาสามารถทำมันได้ก่อนที่ฉันจะเริ่มกำหนดค่าเอง ใครจะรู้. มันจะไม่เป็นครั้งแรกที่ฉันประสบปัญหาที่เลี้ยงตัวเองเพราะเทคโนโลยีไร้ความสามารถ
แอนโธนี

1
@ อันธพาลการเก็บถาวรจะเป็นประโยชน์สำหรับการวิเคราะห์ แต่จริงๆแล้วไม่คุณสามารถลบได้อย่างปลอดภัย อาจเป็นการดีที่จะลบเฉพาะสิ่งเหล่านั้นก่อนที่จะรีบูตครั้งล่าสุดหรือรีบูตระบบปฏิบัติการอย่างสมบูรณ์แล้วลบทั้งหมดในกรณีที่บางส่วนยังคงรอการเขียนอยู่ สำหรับการพยายามเข้าสู่ระบบผ่าน RDP ... ฉันไม่คิดอย่างนั้นเนื่องจากคุณไม่ควรแจ้งให้รีจิสทรีเขียนจนกว่าคุณจะเข้าสู่ระบบได้สำเร็จ ... จากนั้นอีกครั้งนี่เป็นกรณีที่ค่อนข้างร้ายแรงดังนั้นจึงควรพิจารณา พฤติกรรมนี้อาจมาจากบางสิ่งบางอย่างโดยสิ้นเชิงเช่นกัน
HopelessN00b

นี่ไม่ใช่ไฟล์ "กู้คืน" หรือ "บันทึกประจำวัน" นี่เป็นเนื้อหาของธุรกรรมรีจิสตรีที่ใช้งานอยู่ ดูเช่นbooks.google.co.th/books?id=w65CAwAAQBAJ&pg=PT460
ivan_pozdeev

-1

ไฟล์เหล่านี้จะถูกสร้างขึ้นเมื่อโปรไฟล์ถูกสร้างขึ้นใหม่หรือเริ่มต้น พวกเขายังเป็นแหล่งของปัญหาเพราะพวกเขาเป็น 'เซ็น' ในแง่ที่ว่าพวกเขามีถิ่นที่อยู่และทำให้กลายเป็นจุดสนใจของผู้บุกรุกหรือแฮ็กเกอร์หากคุณต้องการ

ทำตามคำแนะนำ RT-CLK My Computer, Properties, เลือก 'Advanced System Settings' และ 'Settings' ภายใต้ User Profiles คุณควรคาดหวังรายการของโปรไฟล์ทั้งหมดนั่นคือหนึ่งรายการสำหรับผู้ใช้แต่ละคน

การชะลอตัวลงมักจะเชิญผู้ตรวจสอบและในบางครั้งพวกเขามองข้ามบางสิ่งที่อาจสำคัญ ในเครื่องหนึ่งที่นี่มีโปรไฟล์ชื่อ "DefaultProfile" ซึ่งแน่นอนว่าเป็นการหลอกลวงและถูกลบ อีกโปรไฟล์หนึ่งมีโปรไฟล์ชื่อว่า "โปรไฟล์เริ่มต้น" ซึ่งเป็นของปลอมด้วย อย่างไรก็ตามหลังจะไม่ถูกลบออกได้ง่าย

สิ่งนี้บ่งชี้ว่ามีบางคนที่ถูกแฮ็กและกำลังสร้างเรื่องราวขึ้นมาซึ่งบนเครื่องที่สามกลายเป็นโปรไฟล์ผู้ใช้ที่มีขนาด 231GB (!!!) ทำให้การรอประสบการณ์ที่ไม่อาจรอได้ ในที่สุดผู้ใช้ที่อดทนก็รู้สึกรำคาญเมื่อสิ่งที่เขาทำมาตลอดไม่เกิดขึ้น

บัญชีผู้ใช้ทั้งหมดในเครื่องนั้นรวมถึงผู้ดูแลระบบถูกเปลี่ยนเป็น HOME USER และ / หรือ GUEST เพียงแค่พยายามขอพรอมต์คำสั่งจากที่สูง!

ดังนั้นหากคุณลบโปรไฟล์ผู้ใช้แล้วเข้าสู่ระบบใหม่โปรไฟล์ใหม่จะถูกสร้างขึ้นโดยใช้ DefaultProfile และใน Win10 จะเห็นได้จาก baloney 'Hi' ที่ทำให้ดูดีกว่า Windows ทุกปีที่ผ่านมา หากคุณเข้าสู่ระบบแล้วค้นหาเป็น C: \ Users \ (อะไรก็ตาม) \ Appdata \ Local (สำหรับไฟล์ที่ซ่อนอยู่) คุณจะเห็นไฟล์ REGTRANS-MS ที่ละเมิดหมายเลขและ ZERO LENGTH

พวกเขาจะเต็มไปด้วยการเปลี่ยนแปลงซึ่งมักจะส่งผลให้เกิดการกระทำที่นำไปสู่การตั้งค่าในไฟล์ที่ใช้งานซึ่งยังคงไม่มี - หลังจากเซสชันเสร็จสิ้นการเปลี่ยนแปลงจะถูกเรียกใช้และข้อมูลในไฟล์จะกลายเป็นไฟล์บันทึกที่ทำขึ้นเพื่อการโฆษณา / การติดตามและการฆ่าสิ่งต่าง ๆ ที่ 'อัจฉริยะ' ที่ Microsoft ตอนนี้เท่านั้น

ไชโย

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.