ачати додаток, який їх створює.
Розглянемо приклад помилки в системі і пошук додатку, який записує в корінь системного диска файли, в імені яких міститься tmp _out (малюнок 12).
Рисунок 12 - Помилки видаються в системі
Звичайно, не виключено, що ця система заражена, і потрібна ретельна перевірка всілякими антивірусними засобами. Але далеко не завжди проблема пов'язана з шкідливим кодом, і тоді знадобиться інший підхід. Найпростіше обчислити винуватця появи таких файлів за допомогою утиліти Process Monitor. Відстеження активності
При запуску утиліта відстежує кілька типів системної активності:
- реєстр
- файлову систему
- мережа
- процеси і потоки
Оскільки ми шукаємо причину запису файлів на диск, потрібно зосередитися на активності у файловій системі. Для цього на панелі інструментів потрібно залишити включеною тільки одну кнопку, що відповідає за активність на диску (рисунок 13).
Малюнок 13 - Панель інструментів утиліти Process Monitor
Крім того, переконається, що утиліта відстежує активність. Якщо перекреслена кнопка, яка на малюнку обведена червоним, потрібно натиснути CTRL + E.
Основний фільтр
Тепер потрібно застосувати фільтр, щоб виключити що не відноситься до справи активність. Требуется натиснути клавіші CTRL + L, і побачимо можливості фільтрації. У Process Monitor відразу активні деякі фільтри, що виключають відстеження діяльності самої програми, а також деяких системних компонентів (файлу підкачки, таблиці MFT і т.д.). Це зроблено для того, щоб виключити моніторинг стандартної активності системи (малюнок 14).
Малюнок 14 - Діалогове вікно основного фільтра
На малюнку вище показаний фільтр, який буде відслідковувати створення і зміна всіх файлів, в шляхах до яких міститься tmp _out.
Детальний опис фільтра зліва направо:
- Path. Шлях у файловій системі. Також можна вказувати розділи реєстру, коли відстежується активність в ньому.
- contains. Умова, за яким визначається пошук ключового слова. У перекладі з англійської це слово означає «містить». Залежно від завдання можна конкретизувати умова, вибравши варіант begins with або ends with.
- tmp _out. Ключове слово, яке в даному випадку має міститися в дорозі. Файл і його розширення є частиною повного шляху до файлу.
- include. Включення заданої умови в список що відслідковуються.
Не потрібно забувати натиснути кнопку Add, щоб додати фільтр до списку. Втім, Process Monitor нагадає про це, перш ніж закрити вікно фільтрів.
В даному випадку використовувалося частина імені файлу як ключового слова, оскільки всі незрозумілі файли містять в імені tmp_out. Якщо файли створюються з різними іменами, але зате в певній папці, використовуйте шлях до цієї папки в якості ключового слова.
Оскільки задано жорстку умову фільтрації файлової активності, у вікні програми, швидше за все, тепер не буде відображатися ніяких процесів. Але Process Monitor ...
