मेरे पास कुछ वायरस फाइलें हैं जो रैंडमली एसी के रूट पर बनाई जा रही हैं: मेरे एक सर्वर की डिस्क। मैं कैसे पता लगा सकता हूं कि इसने क्या बनाया है? कुछ 3 पार्टी सॉफ्टवेयर हो सकता है?
मेरे पास कुछ वायरस फाइलें हैं जो रैंडमली एसी के रूट पर बनाई जा रही हैं: मेरे एक सर्वर की डिस्क। मैं कैसे पता लगा सकता हूं कि इसने क्या बनाया है? कुछ 3 पार्टी सॉफ्टवेयर हो सकता है?
जवाबों:
फ़ाइल के गुण पत्रक के "सुरक्षा" गुण पृष्ठ के "उन्नत" गुणों के तहत "स्वामी" टैब पर एक नज़र डालें। हालांकि, अच्छे हैं कि आप "प्रशासकों" को मालिक के रूप में देख रहे हैं (जो बहुत उपयोगी नहीं होगा)।
विंडोज में ऑडिटिंग कार्यक्षमता इस तरह की मदद कर सकती है, लेकिन यह प्रतीत होता है बेकार डेटा के ऐसे बड़े संस्करणों को उत्पन्न करता है, जो व्यावहारिक रूप से बोल रहा है, इसके लायक नहीं है।
आइए एक दूसरे के लिए मान लें कि जो कभी ये फाइलें बना रहा है वह दुर्भावनापूर्ण नहीं है:
हालाँकि, जो कुछ भी इन फ़ाइलों को बना रहा है वह दुर्भावनापूर्ण है, यह आपको विफल करने के लिए कदम उठाएगा। (फ़ाइल छिपाना, प्रक्रिया छिपाना, आपत्ति करना, आदि)
रूटकिट्स की जांच के लिए आप यहां कुछ उपयोगिताओं का उपयोग कर सकते हैं: विंडोज रूटकिट का पता लगाने और हटाने वाले उपकरणों की एक सूची
लेकिन अगर यह सर्वर के स्वामित्व में है, तो आप जानते हैं कि यह स्वामित्व में है, और आपको नहीं पता कि उन्हें इसमें कैसे मिला: यह इसे फिर से शुरू करने और किसी भी घटना प्रतिक्रिया योजना को सक्रिय करने का समय है जो आपके पास हो सकता है।
आप Windows के लिए FileMon का भी उपयोग कर सकते हैं, समय लॉग करने के लिए और फ़ाइल लिखने के लिए प्रक्रिया प्रतिबद्ध थी। एक बार जब आप ऐसा करते हैं, तो नेस्टैट -ओ का उपयोग करके प्रक्रिया को ट्रैक करें और फ़ाइल को लिखने वाली प्रक्रिया के पीआईडी को देखें। यहां से आईपी एड्रेस खोजें जो आपके सर्वर से कनेक्शन बना रहा है और यदि आप विंडोज बिल्ट-इन फ़ायरवॉल का उपयोग कर रहे हैं तो कनेक्शन को जारी रखें या कनेक्शन को अस्वीकृत करें।
Windows के लिए FileMon का लिंक: http://technet.microsoft.com/en-us/sysinternals/bb896642.aspx
पीए फ़ाइल साइट आपकी मदद कर सकती है। आप C: \ में ऐप बनाने के लिए मॉनिटर बनाने के लिए एक मॉनिटर सेट कर सकते हैं: ऐप निर्माण समय, उपयोग की गई प्रक्रिया (यह एक स्थानीय प्रक्रिया है) और उपयोग किए गए खाते को लॉग कर सकता है। यह उस डेटा को लॉग फाइल, डेटाबेस और / या वास्तविक समय में आपको सचेत कर सकता है।
यह एक वाणिज्यिक उत्पाद है, लेकिन इसमें 30-दिन का पूर्ण परीक्षण है जो आपके लिए काम करेगा।
पूर्ण प्रकटीकरण: मैं पीए फ़ाइल साइट बनाने वाली कंपनी के लिए काम करता हूं।
थोड़ा और विवरण मदद करेगा; विंडोज संस्करण, फ़ाइल का नाम (), पाठ या बाइनरी? क्या उनका नाम बदला / हटाया जा सकता है या वे उपयोग में बंद हैं? कई बार यह इंगित करेगा कि किस लिजिट प्रोग्राम ने फ़ाइल को जोड़ा। आप strings.exe चला सकते हैं और सुराग की तलाश कर सकते हैं यदि इसकी बाइनरी फ़ाइल।
यदि इसका NTFS ड्राइव है, तो आप सुरक्षा टैब की जांच कर सकते हैं और उन्नत / मालिक के तहत, देख सकते हैं कि किसने बनाया। Sysinternals.com से प्रोसेस एक्सप्लोरर भी सुराग देगा।