如何找出文件的创建者?

如何找出文件的创建者?

我的一台服务器的 ac: 磁盘根目录下随机创建了一些病毒文件。我如何才能找出创建这些文件的原因?可能是某些第三方软件?

答案1

查看文件属性表“安全”属性页“高级”属性下的“所有者”选项卡。不过,您很有可能会看到“管理员”作为所有者(这不会有太大帮助)。

Windows 中的审计功能可以帮助解决这种事情,但它会生成大量看似无用的数据,实际上并不值得。

答案2

让我们暂时假设创建这些文件的东西不是恶意的:

  • 您可以查看所有者以查看哪些用户创建了这些文件
  • 然后使用 Sysinternals Process Explorer 之类的工具来查看该用户下正在运行的进程(右键单击列并选中“进程映像”选项卡上的“用户名”
  • 然后查看每个进程所具有的句柄(转到“视图”菜单,选中“显示低窗格”,将“低窗格视图”更改为“句柄”),其中一个进程可能打开了您看到的奇怪文件的句柄

然而,如果创建这些文件的程序是恶意的,它就会采取措施阻止你。(文件隐藏、进程隐藏、混淆等)

您可以使用此处的一些实用程序来检查 rootkit: Windows rootkit 检测和删除工具列表

但是如果服务器已经被拥有,您知道它已经被拥有,并且您不知道他们是如何进入的:现在是时候开始重建它并激活您可能拥有的任何事件响应计划了。

答案3

您还可以利用适用于 Windows 的 FileMon 来记录提交文件写入的时间和进程。完成此操作后,使用 nestat -ao 跟踪进程并查找写入文件的进程的 PID。从这里找到连接到您的服务器的 IP 地址并继续调查,或者如果您使用 Windows 内置防火墙,则拒绝连接。

适用于 Windows 的 FileMon 链接:http://technet.microsoft.com/en-us/sysinternals/bb896642.aspx

答案4

更多细节会有所帮助;Windows 版本、文件名、文本还是二进制?它们可以重命名/删除吗,还是被锁定在使用中?很多时候,这会指向哪个合法程序添加了该文件。您可以运行 strings.exe 并寻找线索,看看它是否是二进制文件。

如果它是 NTFS 驱动器,您可以检查“安全”选项卡,并在“高级/所有者”下查看创建者。sysinternals.com 的进程资源管理器也会提供线索。

相关内容