Boris Vezmar Asked: 2009-06-06 09:14:48 +0800 CST2009-06-06 09:14:48 +0800 CST 2009-06-06 09:14:48 +0800 CST 如何找出创建文件的内容? 772 我在我的一台服务器的 ac: 磁盘的根目录上随机创建了一些病毒文件。我怎样才能知道是什么创造了它?可能是一些第 3 方软件? windows malware rootkit 5 个回答 Voted Evan Anderson 2009-06-06T09:21:20+08:002009-06-06T09:21:20+08:00 查看文件属性表的“安全”属性页面的“高级”属性下的“所有者”选项卡。不过,很有可能您会看到“管理员”作为所有者(这不会太有帮助)。 Windows 中的审计功能可以帮助解决此类问题,但它会生成大量看似无用的数据,实际上不值得。 Bob 2009-06-06T09:43:27+08:002009-06-06T09:43:27+08:00 让我们假设创建这些文件的东西不是恶意的: 您可以查看所有者以查看创建文件的用户 然后使用 Sysinternals Process Explorer 之类的东西来查看在该用户下运行的进程(右键单击列并检查“进程映像”选项卡上的“用户名” 然后查看每个进程具有的句柄(转到视图菜单,选中“显示低窗格”,将“下窗格视图”更改为“句柄”),其中一个可能有一个句柄可以打开您看到的奇怪文件 但是,如果创建这些文件的任何内容都是恶意的,它将采取措施阻止您。(文件隐藏、进程隐藏、混淆等) 您可以使用此处的一些实用程序来检查 rootkit: Windows rootkit 检测和删除工具列表 但如果服务器已被拥有,您知道它已被拥有,但您不知道它们是如何进入的:是时候开始重建它并激活您可能拥有的任何事件响应计划。 jeffp711 2009-06-06T09:46:27+08:002009-06-06T09:46:27+08:00 您还可以使用 FileMon for Windows 来记录提交文件写入的时间和进程。完成此操作后,使用 nestat -ao 跟踪进程并查找写入文件的进程的 PID。从这里找到与您的服务器建立连接的 IP 地址并继续调查,如果您使用的是 Windows 内置防火墙,则拒绝连接。 Windows 版 FileMon 的链接:http ://technet.microsoft.com/en-us/sysinternals/bb896642.aspx DougN 2009-06-06T20:30:17+08:002009-06-06T20:30:17+08:00 PA File Sight可以为您提供帮助。您可以设置一个监视器来监视在 C:\ 中创建的文件。该应用程序可以记录创建时间、使用的进程(假设它是本地进程)和使用的帐户。它可以将该数据记录到日志文件、数据库和/或实时提醒您。 这是一个商业产品,但有一个全功能的 30 天试用版,适合您。 全面披露:我为创建 PA File Sight 的公司工作。 RedBarn 2009-06-06T09:50:35+08:002009-06-06T09:50:35+08:00 更多细节会有所帮助;Windows 版本、文件名、文本还是二进制文件?它们可以被重命名/删除还是被锁定使用?很多时候,这将指向哪个合法程序添加了该文件。如果它是二进制文件,您可以运行 strings.exe 并寻找线索。 如果它是 NTFS 驱动器,您可以检查安全选项卡并在高级/所有者下查看创建者。来自 sysinternals.com 的进程浏览器也会提供线索。
查看文件属性表的“安全”属性页面的“高级”属性下的“所有者”选项卡。不过,很有可能您会看到“管理员”作为所有者(这不会太有帮助)。
Windows 中的审计功能可以帮助解决此类问题,但它会生成大量看似无用的数据,实际上不值得。
让我们假设创建这些文件的东西不是恶意的:
但是,如果创建这些文件的任何内容都是恶意的,它将采取措施阻止您。(文件隐藏、进程隐藏、混淆等)
您可以使用此处的一些实用程序来检查 rootkit: Windows rootkit 检测和删除工具列表
但如果服务器已被拥有,您知道它已被拥有,但您不知道它们是如何进入的:是时候开始重建它并激活您可能拥有的任何事件响应计划。
您还可以使用 FileMon for Windows 来记录提交文件写入的时间和进程。完成此操作后,使用 nestat -ao 跟踪进程并查找写入文件的进程的 PID。从这里找到与您的服务器建立连接的 IP 地址并继续调查,如果您使用的是 Windows 内置防火墙,则拒绝连接。
Windows 版 FileMon 的链接:http ://technet.microsoft.com/en-us/sysinternals/bb896642.aspx
PA File Sight可以为您提供帮助。您可以设置一个监视器来监视在 C:\ 中创建的文件。该应用程序可以记录创建时间、使用的进程(假设它是本地进程)和使用的帐户。它可以将该数据记录到日志文件、数据库和/或实时提醒您。
这是一个商业产品,但有一个全功能的 30 天试用版,适合您。
全面披露:我为创建 PA File Sight 的公司工作。
更多细节会有所帮助;Windows 版本、文件名、文本还是二进制文件?它们可以被重命名/删除还是被锁定使用?很多时候,这将指向哪个合法程序添加了该文件。如果它是二进制文件,您可以运行 strings.exe 并寻找线索。
如果它是 NTFS 驱动器,您可以检查安全选项卡并在高级/所有者下查看创建者。来自 sysinternals.com 的进程浏览器也会提供线索。