답변:
파일 속성 시트의 "보안"속성 페이지에서 "고급"속성 아래의 "소유자"탭을보십시오. 그러나 "관리자"가 소유자로 표시 될 가능성이 높습니다 (너무 도움이되지는 않음).
Windows의 감사 기능은 이러한 종류의 작업에 도움이 될 수 있지만 실제로는 쓸모가 없어 보이는 쓸모없는 데이터를 대량으로 생성합니다.
이 파일을 생성하는 것이 악성이 아니라고 잠시 가정 해 봅시다.
그러나 이러한 파일을 생성하는 것이 악의적 인 경우 악의적 인 행동을 취할 것입니다. (파일 숨기기, 프로세스 숨기기, 난독 화 등)
여기에서 일부 유틸리티를 사용하여 루트킷을 확인할 수 있습니다. Windows 루트킷 탐지 및 제거 도구 목록
그러나 서버가 소유 된 경우 서버가 소유 된 것임을 알며 서버가 어떻게 들어 왔는지 알 수 없습니다. 이제 서버를 다시 구축하고 사고 대응 계획을 활성화해야합니다.
FileMon for Windows를 사용하여 파일 쓰기가 커밋 된 시간 및 프로세스를 기록 할 수도 있습니다. 일단 그렇게하면 nestat -ao를 사용하여 프로세스를 추적하고 파일을 작성한 프로세스의 PID를 찾으십시오. 여기서 Windows 기본 제공 방화벽을 사용하는 경우 서버에 연결중인 IP 주소를 찾고 조사를 계속하거나 연결을 거부하십시오.
Windows 용 FileMon에 연결 : http://technet.microsoft.com/en-us/sysinternals/bb896642.aspx
PA File Sight 가 도움이 될 수 있습니다. C : \에서 파일 생성을 감시하도록 모니터를 설정할 수 있습니다. 앱은 생성 시간, 사용 된 프로세스 (로컬 프로세스 인 경우) 및 사용 된 계정을 기록 할 수 있습니다. 해당 데이터를 로그 파일, 데이터베이스에 기록하거나 실시간으로 경고 할 수 있습니다.
상용 제품이지만 30 일 동안 사용할 수있는 완전한 기능의 시험판이 있습니다.
전체 공개 : 저는 PA File Sight를 만든 회사에서 일합니다.
조금 더 자세한 내용이 도움이 될 것입니다. Windows 버전, 파일 이름, 텍스트 또는 이진? 이름을 바꾸거나 삭제할 수 있습니까? 아니면 사용 중에 잠겨 있습니까? 여러 번 이것은 ligit 프로그램이 파일을 추가 한 것을 가리 킵니다. strings.exe를 실행하고 이진 파일 인 경우 실마리를 찾을 수 있습니다.
NTFS 드라이브 인 경우 보안 탭과 고급 / 소유자 아래에서 누가 만든 사람인지 확인할 수 있습니다. sysinternals.com의 프로세스 탐색기도 실마리를 제공합니다.