파일을 생성 한 파일을 찾는 방법은 무엇입니까?


12

ac의 루트 : 내 서버 중 하나의 디스크에 무작위로 생성 된 바이러스 파일이 있습니다. 그것을 만든 것을 어떻게 알 수 있습니까? 타사 소프트웨어일까요?

답변:


10

파일 속성 시트의 "보안"속성 페이지에서 "고급"속성 아래의 "소유자"탭을보십시오. 그러나 "관리자"가 소유자로 표시 될 가능성이 높습니다 (너무 도움이되지는 않음).

Windows의 감사 기능은 이러한 종류의 작업에 도움이 될 수 있지만 실제로는 쓸모가 없어 보이는 쓸모없는 데이터를 대량으로 생성합니다.


주인은 손님입니다! :) 나는 그 손님이 나의주의를 잃어버린 방법을 모른다! 이제 네트워크의 다른 컴퓨터가 내 서버를 "폭격"하고 있음을 알고 있습니다. 감사!
Boris Vezmar 2016 년

Guest 계정을 잠그고 컴퓨터에 불쾌한 일을하지 않았는지 확인하십시오. 루트 디렉토리에 파일을 작성하는 경우 심각한 문제가 발생할 수 있습니다.
Evan Anderson

그들은 conficker virus를 내 서버에 밀어 넣었지만 다른 곳으로는 퍼질 수 없었습니다. conficker의 나머지를 모두 찾아서 제거했습니다. 감사합니다
Boris Vezmar 2016 년

3

이 파일을 생성하는 것이 악성이 아니라고 잠시 가정 해 봅시다.

  • 소유자를보고 어떤 사용자가 파일을 만들 었는지 확인할 수 있습니다
  • 그런 다음 Sysinternals Process Explorer와 같은 것을 사용하여 해당 사용자에서 실행중인 프로세스를보십시오 (열을 마우스 오른쪽 단추로 클릭하고 "프로세스 이미지"탭에서 "사용자 이름"을 확인하십시오).
  • 그런 다음 각 프로세스가 가지고있는 핸들 (Goto View 메뉴, "낮은 창 표시", "낮은 창보기"를 "핸들"로 변경)을 확인하십시오.

그러나 이러한 파일을 생성하는 것이 악의적 인 경우 악의적 인 행동을 취할 것입니다. (파일 숨기기, 프로세스 숨기기, 난독 화 등)

여기에서 일부 유틸리티를 사용하여 루트킷을 확인할 수 있습니다. Windows 루트킷 탐지 및 제거 도구 목록

그러나 서버가 소유 된 경우 서버가 소유 된 것임을 알며 서버가 어떻게 들어 왔는지 알 수 없습니다. 이제 서버를 다시 구축하고 사고 대응 계획을 활성화해야합니다.


네, 당신의 대답은 에반 앤더슨이 제안한 다음의 논리적 인 단계이며,이 경우에 대한 해결책입니다!
Boris Vezmar 2016 년

2

FileMon for Windows를 사용하여 파일 쓰기가 커밋 된 시간 및 프로세스를 기록 할 수도 있습니다. 일단 그렇게하면 nestat -ao를 사용하여 프로세스를 추적하고 파일을 작성한 프로세스의 PID를 찾으십시오. 여기서 Windows 기본 제공 방화벽을 사용하는 경우 서버에 연결중인 IP 주소를 찾고 조사를 계속하거나 연결을 거부하십시오.

Windows 용 FileMon에 연결 : http://technet.microsoft.com/en-us/sysinternals/bb896642.aspx


FileMon을이로 교체됩니다 technet.microsoft.com/en-us/sysinternals/bb896645
찰스

2

PA File Sight 가 도움이 될 수 있습니다. C : \에서 파일 생성을 감시하도록 모니터를 설정할 수 있습니다. 앱은 생성 시간, 사용 된 프로세스 (로컬 프로세스 인 경우) 및 사용 된 계정을 기록 할 수 있습니다. 해당 데이터를 로그 파일, 데이터베이스에 기록하거나 실시간으로 경고 할 수 있습니다.

상용 제품이지만 30 일 동안 사용할 수있는 완전한 기능의 시험판이 있습니다.

전체 공개 : 저는 PA File Sight를 만든 회사에서 일합니다.


HMMM, 매우 흥미로운 소프트웨어! 나는 그것을 시도 :)주지
보리스 Vezmar

0

조금 더 자세한 내용이 도움이 될 것입니다. Windows 버전, 파일 이름, 텍스트 또는 이진? 이름을 바꾸거나 삭제할 수 있습니까? 아니면 사용 중에 잠겨 있습니까? 여러 번 이것은 ligit 프로그램이 파일을 추가 한 것을 가리 킵니다. strings.exe를 실행하고 이진 파일 인 경우 실마리를 찾을 수 있습니다.

NTFS 드라이브 인 경우 보안 탭과 고급 / 소유자 아래에서 누가 만든 사람인지 확인할 수 있습니다. sysinternals.com의 프로세스 탐색기도 실마리를 제공합니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.