我有一些病毒文件被随机创build在我的一台服务器的ac:disk的根目录下。 我如何知道是什么创build的? 一些第三方软件可能?
查看文件属性表的“安全”属性页面的“高级”属性下的“所有者”选项卡。 然而,赔率是好的,你会看到“pipe理员”作为所有者(这不会太有帮助)。
在Windows中的审计function可以帮助这种事情,但它产生如此大量的看似无用的数据,实际上是不值得的。
让我们假设一下,创造这些文件是不是恶意的:
但是,如果创build这些文件是恶意的,它将采取措施阻止你。 (文件隐藏,进程隐藏,混淆等)
您可以使用这里的一些实用程序来检查rootkit: Windows rootkit检测和删除工具的列表
但是,如果服务器已经拥有了,你知道它已经拥有了,你不知道他们是怎么进来的:现在是时候开始重build它并激活你可能拥有的事件响应计划。
您也可以使用FileMon for Windows,logging时间和进程提交的文件写入。 一旦你这样做,使用nestat -ao跟踪进程,并查找写入文件的进程的PID。 从这里find正在连接到服务器的IP地址,如果使用Windows内置防火墙,则继续调查或拒绝连接。
链接到FileMon for Windows: http : //technet.microsoft.com/en-us/sysinternals/bb896642.aspx
PA File Sight可以帮助你。 您可以设置一个监视器来监视C:\中创build的文件。该应用程序可以logging创build时间,使用的过程(假设它是一个本地进程)和使用的帐户。 它可以将该数据logging到日志文件,数据库和/或实时提醒您。
这是一个商业产品,但有一个function齐全的30天的试用,将为你工作。
全面披露:我为创buildPA File Sight的公司工作。
多一点细节会有所帮助; Windows版本,文件名称,文本或二进制文件? 他们可以被重命名/删除或被locking在使用? 很多时候,这将指向什么ligit程序添加文件。 您可以运行strings.exe并查找线索,如果它是一个二进制文件。
如果是NTFS驱动器,则可以检查安全选项卡,并在高级/所有者下查看创build的人员。 来自sysinternals.com的进程pipe理器也将提供线索。