comment savoir ce qui a créé un fichier?

J'ai des fichiers de virus créés aléatoirement à la racine du disque ac: d'un de mes serveurs. Comment puis-je savoir ce qui l'a créé? Un logiciel tiers peut-être?

Jetez un œil à l'onglet "Propriétaire" sous les propriétés "Avancées" de la page de propriétés "Sécurité" de la feuille de propriétés du fichier. Les chances sont bonnes, cependant, que vous allez voir "Administrateurs" en tant que propriétaire (ce qui ne sera pas trop utile).

La fonctionnalité d'audit de Windows peut aider avec ce genre de chose, mais elle génère de si gros volumes de données apparemment inutiles que cela ne vaut pratiquement pas la peine.

Supposons une seconde que ce qui crée ces fichiers n'est pas malveillant:

• Vous pouvez regarder le propriétaire pour voir quel utilisateur a créé les fichiers
• Utilisez ensuite quelque chose comme Sysinternals Process Explorer pour afficher les processus qui s'exécutent sous cet utilisateur (cliquez avec le bouton droit sur les colonnes et cochez "Nom d'utilisateur" dans l'onglet "Image du processus"
• Ensuite, regardez les poignées de chacun de ces processus (Aller au menu Affichage, cocher "Afficher le volet inférieur, changer" Affichage du volet inférieur "en" Poignées "), l'un d'eux peut avoir une poignée ouverte pour les fichiers étranges que vous voyez

Cependant, si ce qui crée ces fichiers est malveillant, il prendra des mesures pour vous contrecarrer. (Masquage de fichiers, masquage de processus, obscurcissement, etc.)

Vous pouvez utiliser certains des utilitaires ici pour vérifier les rootkits: Une liste d'outils de détection et de suppression des rootkits Windows

Mais si le serveur appartient, vous savez qu'il appartient et vous ne savez pas comment ils sont entrés: il est temps de commencer à le reconstruire et à activer tout plan de réponse aux incidents que vous pourriez avoir.

Vous pouvez également utiliser FileMon pour Windows pour enregistrer l'heure et le processus d'écriture du fichier. Une fois que vous avez fait cela, recherchez le processus à l'aide de nestat -ao et recherchez le PID du processus qui a écrit le fichier. De là, recherchez l'adresse IP qui établit la connexion à votre serveur et poursuivez l'enquête ou REFUSER la connexion si vous utilisez le pare-feu intégré de Windows.

Lien vers FileMon pour Windows: http://technet.microsoft.com/en-us/sysinternals/bb896642.aspx

PA File Sight pourrait vous y aider. Vous pouvez configurer un moniteur pour surveiller la création de fichiers dans C: \ L'application peut enregistrer l'heure de création, le processus utilisé (en supposant qu'il s'agit d'un processus local) et le compte utilisé. Il peut enregistrer ces données dans un fichier journal, une base de données et / ou vous alerter en temps réel.

C'est un produit commercial, mais dispose d'un essai de 30 jours entièrement fonctionnel qui fonctionnerait pour vous.

Divulgation complète: je travaille pour la société qui a créé PA File Sight.

un peu plus de détails aideraient; Version Windows, nom de fichier (s), texte ou binaire? Peuvent-ils être renommés / supprimés ou sont-ils verrouillés en cours d'utilisation? Plusieurs fois, cela indiquera quel programme ligit a ajouté le fichier. Vous pouvez exécuter strings.exe et rechercher des indices s'il s'agit d'un fichier binaire.

Si c'est un lecteur NTFS, vous pouvez vérifier l'onglet de sécurité et sous avancé / propriétaire, pour voir qui a créé. L'explorateur de processus de sysinternals.com donnera également des indices.