如何找出创建文件的内容？

我在我的一台服务器的ac：磁盘的根目录上随机创建了一些病毒文件。我如何找出是什么原因造成的？也许一些第三方软件？

在文件属性表的“安全性”属性页的“高级”属性下，查看“所有者”选项卡。不过，很可能您会以“管理员”作为所有者（这不会太有帮助）。

Windows中的审核功能可以帮助解决此类问题，但是它会生成大量看似无用的数据，实际上，这是不值得的。

让我们再假设一下，创建这些文件的过程并不是恶意的：

• 您可以查看所有者，看看哪些用户创建了文件
• 然后使用Sysinternals Process Explorer之类的东西查看在该用户下运行的进程（右键单击各列，然后在“ Process Image”选项卡上选中“ User Name”
• 然后查看每个进程具有的句柄（转到视图菜单，选中“显示低窗格”，将“下窗格视图”更改为“句柄”），其中之一可能会打开一个您看到的奇怪文件的句柄

但是，如果创建这些文件的任何内容都是恶意的，它将采取措施阻止您。（文件隐藏，进程隐藏，混淆等）

您可以在此处使用某些实用程序来检查rootkit： Windows rootkit检测和删除工具的列表

但是，如果服务器已被拥有，您就知道它已被拥有，而且您也不知道它们是如何进入的：现在是时候开始重建它并激活您可能拥有的任何事件响应计划了。

您也可以利用Windows的FileMon来记录提交文件的时间和进程。完成此操作后，使用nestat -ao跟踪该进程，然后查找编写该文件的进程的PID。从此处查找与服务器建立连接的IP地址，然后继续调查；如果使用Windows内置防火墙，则继续拒绝连接。

链接到Windows的FileMon：http : //technet.microsoft.com/zh-cn/sysinternals/bb896642.aspx

PA File Sight可以为您提供帮助。您可以设置一个监视器来监视在C：\中创建的文件。该应用程序可以记录创建时间，使用的进程（假设它是本地进程）和使用的帐户。它可以将该数据记录到日志文件，数据库和/或实时提醒您。

这是一种商业产品，但具有功能齐全的30天试用版，将为您服务。

全面披露：我为创建PA File Sight的公司工作。

多一点细节会有所帮助；Windows版本，文件名，文本或二进制文件？它们可以重命名/删除还是被锁定使用？很多时候，这将指向哪些ligit程序添加了文件。您可以运行strings.exe并查找线索（如果它是二进制文件）。

如果它是NTFS驱动器，则可以检查安全性选项卡，然后在“高级/所有者”下查看创建者。sysinternals.com的Process Explorer也将提供线索。