何がファイルを作成したかを調べる方法は？

サーバーのいずれかのac：ディスクのルートにランダムに作成されたウイルスファイルがいくつかあります。作成したものを調べるにはどうすればよいですか？サードパーティ製のソフトウェアがありますか？

ファイルのプロパティシートの[セキュリティ]プロパティページの[詳細]プロパティの下にある[所有者]タブをご覧ください。ただし、「管理者」を所有者として表示するのは良いことです（あまり役に立たないでしょう）。

Windowsの監査機能は、この種のことを支援できますが、実際には、価値のない、一見役に立たない大量のデータを生成します。

これらのファイルを作成しているものが悪意のあるものではないと少し考えてみましょう。

• 所有者を見て、どのユーザーがファイルを作成したかを確認できます
• 次に、Sysinternals Process Explorerなどを使用して、そのユーザーの下で実行されているプロセスを表示します（列を右クリックし、[プロセスイメージ]タブで[ユーザー名]をチェックします
• 次に、これらの各プロセスのハンドルを確認します（[表示]メニュー、[低ペインを表示]、[低ペインビュー]を[ハンドル]に変更）、そのうちの1つに、表示されている奇妙なファイルへのハンドルがあります

ただし、これらのファイルを作成しているものが悪意のあるものである場合、それを阻止するための措置が講じられます。（ファイルの非表示、プロセスの非表示、難読化など）

ここでいくつかのユーティリティを使用して、ルートキットを確認できます 。Windowsルートキットの検出および削除ツールのリスト

ただし、サーバーが所有されている場合は、所有されていることがわかります。サーバーがどのように侵入したかはわかりません。再構築を開始し、発生する可能性のあるインシデント対応計画をアクティブにします。

FileMon for Windowsを使用して、ファイルの書き込みがコミットされた時間とプロセスを記録することもできます。それが完了したら、nestat -aoを使用してプロセスを追跡し、ファイルを書き込んだプロセスのPIDを探します。ここから、サーバーに接続しているIPアドレスを見つけて調査を続行するか、Windowsビルトインファイアウォールを使用している場合は接続を拒否します。

FileMon for Windowsへのリンク：http ://technet.microsoft.com/en-us/sysinternals/bb896642.aspx

PA File Sightがお手伝いします。C：\で作成されたファイルを監視するモニターを設定できます。アプリは、作成時間、使用されたプロセス（ローカルプロセスであると仮定）、および使用されたアカウントを記録できます。そのデータをログファイル、データベースに記録したり、リアルタイムで警告したりできます。

これは商用製品ですが、完全に機能する30日間の試用版があります。

完全開示：PA File Sightを作成した会社で働いています。

もう少し詳細が役立ちます。Windowsバージョン、ファイル名、テキストまたはバイナリ？名前を変更したり削除したりできますか、または使用中にロックされていますか？多くの場合、これはどのligitプログラムがファイルを追加したかを示します。バイナリファイルの場合、strings.exeを実行し、手がかりを探すことができます。

NTFSドライブの場合、[セキュリティ]タブと[詳細/所有者]で、作成者を確認できます。sysinternals.comのProcess Explorerも手がかりを与えてくれます。