como descobrir o que criou um arquivo?

Tenho alguns arquivos de vírus sendo criados aleatoriamente na raiz do ac: disk de um dos meus servidores. Como posso descobrir o que o criou? Algum software de terceiros, talvez?

Dê uma olhada na guia "Proprietário", nas propriedades "Avançadas" da página de propriedades "Segurança" da folha de propriedades do arquivo. As probabilidades são boas, porém, de que você verá "Administradores" como o proprietário (o que não será muito útil).

A funcionalidade de auditoria no Windows pode ajudar com esse tipo de coisa, mas gera volumes tão grandes de dados aparentemente inúteis que, na prática, não vale a pena.

Vamos supor por um segundo que o que está criando esses arquivos não é malicioso:

• Você pode olhar para o proprietário para ver qual usuário criou os arquivos
• Em seguida, use algo como o Sysinternals Process Explorer para exibir os processos em execução nesse usuário (clique com o botão direito do mouse nas colunas e marque "Nome do usuário" na guia "Imagem do processo"
• Em seguida, observe as alças que cada um desses processos possui (Vá para o menu Exibir, marque "Mostrar painel baixo, altere" Visualização do painel inferior "para" Alças "). Um deles pode ter uma alça aberta para os arquivos estranhos que você está vendo

No entanto, se o que estiver criando esses arquivos for malicioso, serão tomadas medidas para frustrá-lo. (Ocultar arquivos, ocultar processos, ofuscação etc.)

Você pode usar alguns dos utilitários aqui para verificar rootkits: Uma lista de ferramentas de detecção e remoção de rootkits do Windows

Mas se o servidor pertence, você sabe que ele pertence e não sabe como eles entraram: é hora de começar a reconstruí-lo e ativar qualquer plano de resposta a incidentes que você possa ter.

Você também pode utilizar o FileMon for Windows, para registrar o Tempo e o Processo em que a gravação do arquivo foi confirmada. Depois de fazer isso, localize o processo usando o nestat -ao e procure o PID do processo que gravou o arquivo. A partir daqui, encontre o Endereço IP que está fazendo a conexão com o servidor e continue a investigação ou NEGE a conexão se você estiver usando o Firewall Interno do Windows.

Link para o FileMon para Windows: http://technet.microsoft.com/en-us/sysinternals/bb896642.aspx

O PA File Sight pode ajudá-lo lá. Você pode configurar um monitor para assistir à criação de arquivos em C: \ O aplicativo pode registrar o horário de criação, o processo usado (supondo que seja um processo local) e a conta usada. Ele pode registrar esses dados em um arquivo de log, banco de dados e / ou alertá-lo em tempo real.

É um produto comercial, mas possui uma avaliação de 30 dias totalmente funcional que funcionaria para você.

Divulgação completa: trabalho para a empresa que criou o PA File Sight.

um pouco mais de detalhes ajudariam; Versão do Windows, nome do (s) arquivo (s), texto ou binário? Eles podem ser renomeados / excluídos ou estão bloqueados em uso? Muitas vezes, isso apontará para qual programa ligit adicionou o arquivo. Você pode executar o strings.exe e procurar pistas, se for um arquivo binário.

Se for uma unidade NTFS, você pode verificar a guia de segurança e em avançado / proprietário para ver quem criou. O Process Explorer do sysinternals.com também fornecerá pistas.