как узнать, что создало файл?

Взгляните на вкладку «Владелец» в свойствах «Дополнительно» на странице свойств «Безопасность» на странице свойств файла. Однако велика вероятность того, что вы увидите «администраторов» в качестве владельца (что не слишком поможет).

Функция аудита в Windows может помочь в этом, но она генерирует такие большие объемы, казалось бы, бесполезных данных, что практически не стоит того.

Предположим на секунду, что то, что когда-либо создает эти файлы, не является вредоносным:

• Вы можете посмотреть на владельца, чтобы узнать, какой пользователь создал файлы.
• Затем используйте что-то вроде Sysinternals Process Explorer, чтобы просмотреть процессы, запущенные под этим пользователем (щелкните правой кнопкой мыши столбцы и установите флажок «Имя пользователя» на вкладке «Образ процесса».
• Затем посмотрите на дескрипторы, которые есть у каждого из этих процессов (меню «Перейти к просмотру», отметьте «Показать нижнюю панель», измените «Вид нижней панели» на «Ручки»), у одного из них может быть дескриптор, открытый для странных файлов, которые вы видите.

Однако, если все, что создает эти файлы, является вредоносным, оно предпримет шаги, чтобы помешать вам. (Скрытие файлов, скрытие процессов, обфускация и т. Д.)

Вы можете использовать некоторые из этих утилит для проверки наличия руткитов: Список средств обнаружения и удаления руткитов Windows

Но если сервер принадлежал, вы знаете, что он принадлежит, и вы не знаете, как они туда попали: пора начать его перестраивать и активировать любой план реагирования на инциденты, который у вас может быть.

Вы также можете использовать FileMon для Windows, чтобы регистрировать время и процесс записи файла. Как только вы это сделаете, отследите процесс с помощью nestat -ao и найдите PID процесса, который написал файл. Отсюда найдите IP-адрес, по которому осуществляется соединение с вашим сервером, и продолжите исследование или ОТКАЗАТЬ соединение, если вы используете встроенный брандмауэр Windows.

Ссылка на FileMon для Windows: http://technet.microsoft.com/en-us/sysinternals/bb896642.aspx

Просмотр файлов PA мог бы вам там помочь. Вы можете настроить монитор для просмотра файлов, создаваемых в C: \. Приложение может регистрировать время создания, используемый процесс (при условии, что это локальный процесс) и используемую учетную запись. Он может записывать эти данные в файл журнала, базу данных и / или предупреждать вас в режиме реального времени.

Это коммерческий продукт, но у него есть полнофункциональная 30-дневная пробная версия, которая подойдет вам.

Полное раскрытие информации: я работаю в компании, создавшей PA File Sight.

немного больше деталей поможет; Версия Windows, имя файла (ов), текстовое или двоичное? Можно ли их переименовать / удалить или они заблокированы для использования? Много раз это будет указывать на то, какая программа ligit добавила файл. Вы можете запустить strings.exe и поискать подсказки, если это двоичный файл.

Если это диск NTFS, вы можете проверить вкладку безопасности и в разделе Advanced / owner, чтобы узнать, кто создал. Обозреватель процессов с sysinternals.com также подскажет.