como descobrir o que criou um arquivo?

12

Eu tenho alguns arquivos de vírus sendo criados aleatoriamente na raiz de um c: disco de um dos meus servidores. Como posso descobrir o que criou isso? Algum software de terceiros, talvez?

    
por Boris Vezmar 05.06.2009 / 19:14

5 respostas

10

Dê uma olhada na guia "Proprietário" nas propriedades "Avançadas" da página de propriedades "Segurança" da folha de propriedades do arquivo. As probabilidades são boas, no entanto, que você verá "Administradores" como o proprietário (o que não será muito útil).

A funcionalidade de auditoria no Windows pode ajudar com esse tipo de coisa, mas gera volumes tão grandes de dados aparentemente inúteis que, na prática, não valem a pena.

    
por 05.06.2009 / 19:21
3

Vamos supor por um segundo que o que está criando esses arquivos não é malicioso:

  • Você pode consultar o proprietário para ver qual usuário criou os arquivos
  • Em seguida, use algo como o Sysinternals Process Explorer para visualizar os processos que estão sendo executados sob esse usuário (clique com o botão direito do mouse nas colunas e marque "User Name" na guia "Process Image"
  • Em seguida, observe as alças que cada um desses processos possui (Goto View Menu, Verificar "Mostrar painel inferior, Alterar" Exibir painel inferior "para" Handles "), um deles pode ter um identificador aberto para os arquivos estranhos você está vendo

No entanto, se o que estiver criando esses arquivos for malicioso, ele tomará medidas para impedir você. (Esconder arquivo, esconder processo, ofuscação, etc.)

Você pode usar alguns dos utilitários aqui para verificar rootkits: Uma lista de ferramentas de detecção e remoção de rootkits do Windows

Mas se o servidor foi possuído, você sabe que ele é de propriedade e você não sabe como entraram: é hora de começar a reconstruí-lo e ativar qualquer plano de resposta a incidentes que você possa ter.

    
por 05.06.2009 / 19:43
2

Você também pode utilizar o FileMon for Windows, registrar o tempo e processar a gravação do arquivo que foi confirmada. Depois de fazer isso, rastreie o processo usando nestat -ao e procure pelo PID do processo que gravou o arquivo. A partir daqui, encontre o endereço IP que está fazendo a conexão com o servidor e continue a investigação ou DENY a conexão, se você estiver usando o Firewall Interno do Windows.

Link para o FileMon for Windows: link

    
por 05.06.2009 / 19:46
2

PA File Sight pode ajudá-lo. Você pode configurar um monitor para assistir cria arquivo em C: \ O aplicativo pode registrar o tempo de criação, o processo utilizado (assumindo que é um processo local) e a conta usada. Ele pode registrar esses dados em um arquivo de log, banco de dados e / ou alertá-lo em tempo real.

É um produto comercial, mas tem uma avaliação de 30 dias totalmente funcional que funcionaria para você.

Divulgação completa: Eu trabalho para a empresa que criou o PA File Sight.

    
por 06.06.2009 / 06:30
0

um pouco mais de detalhes ajudaria; Versão do Windows, nome do arquivo (s), texto ou binário? Eles podem ser renomeados / excluídos ou estão bloqueados em uso? Muitas vezes isso vai apontar para o que o programa ligit adicionou o arquivo. Você pode executar strings.exe e procurar por pistas se for um arquivo binário.

Se for uma unidade NTFS, você pode verificar a guia de segurança e sob avançado / proprietário, para ver quem criou. O Process Explorer da sysinternals.com também dará pistas.

    
por 05.06.2009 / 19:50