파일을 생성 한 파일을 찾는 방법은 무엇입니까?

ac의 루트 : 내 서버 중 하나의 디스크에 무작위로 생성 된 바이러스 파일이 있습니다. 그것을 만든 것을 어떻게 알 수 있습니까? 타사 소프트웨어일까요?

파일 속성 시트의 "보안"속성 페이지에서 "고급"속성 아래의 "소유자"탭을보십시오. 그러나 "관리자"가 소유자로 표시 될 가능성이 높습니다 (너무 도움이되지는 않음).

Windows의 감사 기능은 이러한 종류의 작업에 도움이 될 수 있지만 실제로는 쓸모가 없어 보이는 쓸모없는 데이터를 대량으로 생성합니다.

이 파일을 생성하는 것이 악성이 아니라고 잠시 가정 해 봅시다.

• 소유자를보고 어떤 사용자가 파일을 만들 었는지 확인할 수 있습니다
• 그런 다음 Sysinternals Process Explorer와 같은 것을 사용하여 해당 사용자에서 실행중인 프로세스를보십시오 (열을 마우스 오른쪽 단추로 클릭하고 "프로세스 이미지"탭에서 "사용자 이름"을 확인하십시오).
• 그런 다음 각 프로세스가 가지고있는 핸들 (Goto View 메뉴, "낮은 창 표시", "낮은 창보기"를 "핸들"로 변경)을 확인하십시오.

그러나 이러한 파일을 생성하는 것이 악의적 인 경우 악의적 인 행동을 취할 것입니다. (파일 숨기기, 프로세스 숨기기, 난독 화 등)

여기에서 일부 유틸리티를 사용하여 루트킷을 확인할 수 있습니다. Windows 루트킷 탐지 및 제거 도구 목록

그러나 서버가 소유 된 경우 서버가 소유 된 것임을 알며 서버가 어떻게 들어 왔는지 알 수 없습니다. 이제 서버를 다시 구축하고 사고 대응 계획을 활성화해야합니다.

FileMon for Windows를 사용하여 파일 쓰기가 커밋 된 시간 및 프로세스를 기록 할 수도 있습니다. 일단 그렇게하면 nestat -ao를 사용하여 프로세스를 추적하고 파일을 작성한 프로세스의 PID를 찾으십시오. 여기서 Windows 기본 제공 방화벽을 사용하는 경우 서버에 연결중인 IP 주소를 찾고 조사를 계속하거나 연결을 거부하십시오.

Windows 용 FileMon에 연결 : http://technet.microsoft.com/en-us/sysinternals/bb896642.aspx

PA File Sight 가 도움이 될 수 있습니다. C : \에서 파일 생성을 감시하도록 모니터를 설정할 수 있습니다. 앱은 생성 시간, 사용 된 프로세스 (로컬 프로세스 인 경우) 및 사용 된 계정을 기록 할 수 있습니다. 해당 데이터를 로그 파일, 데이터베이스에 기록하거나 실시간으로 경고 할 수 있습니다.

상용 제품이지만 30 일 동안 사용할 수있는 완전한 기능의 시험판이 있습니다.

전체 공개 : 저는 PA File Sight를 만든 회사에서 일합니다.

조금 더 자세한 내용이 도움이 될 것입니다. Windows 버전, 파일 이름, 텍스트 또는 이진? 이름을 바꾸거나 삭제할 수 있습니까? 아니면 사용 중에 잠겨 있습니까? 여러 번 이것은 ligit 프로그램이 파일을 추가 한 것을 가리 킵니다. strings.exe를 실행하고 이진 파일 인 경우 실마리를 찾을 수 있습니다.

NTFS 드라이브 인 경우 보안 탭과 고급 / 소유자 아래에서 누가 만든 사람인지 확인할 수 있습니다. sysinternals.com의 프로세스 탐색기도 실마리를 제공합니다.