Страница 1 из 1
Как отследить создание папки в Windows
Добавлено: 2009-10-23 10:58:07
Gloft
Ситуация следующая.
На файловом сервера в папках подразделений создается папка WIndows, в ней system32.
Кроме этих папок никаких других файлов не создается.
Папки не имеют статуса скрытых. Можно определить владельца создавшего папки (владелец пользователь домена).
Если папки удалить, они пере создаются через некоторое время.
Антивирусами машину пользователя проверял, все пучком, никаких вирусов не нашел.
Может кто предложит варианты как и чем можно отследить процесс на машине пользователя который создает эти файлы.
Re: Как отследить создание папки в Windows
Добавлено: 2009-10-23 10:59:42
paradox
filespy из утилит windows internal
Re: Как отследить создание папки в Windows
Добавлено: 2009-10-23 16:20:11
mazzay
еще есть встроенный аудит доступа к объектам
Re: Как отследить создание папки в Windows
Добавлено: 2009-10-23 20:21:35
Burner
все уже, не надо ничего определять. Надо переустанавливать ОС на машине пользователя.
Re: Как отследить создание папки в Windows
Добавлено: 2009-10-26 10:08:19
Gloft
filespy найти не смог но наткнулся на ProcessMonitor
Как только запускаю ProcessMonitor создание папки прекращается. Обычно он создавалась практически сразу после удаления, в течении нескольких минут.
Еще варианты?
Re: Как отследить создание папки в Windows
Добавлено: 2009-10-26 11:50:57
paradox
filespy наверное первая версия
дальше оно переименовалось в filemon
Re: Как отследить создание папки в Windows
Добавлено: 2009-10-26 12:15:59
Gloft
http://technet.microsoft.com/ru-ru/sysi ... 96642.aspx
Примечание. Программы Filemon и Regmon заменены одной программой Process Monitor в версиях Windows, начиная с Windows 2000 SP4, Windows XP SP2, Windows Server 2003 SP1 и Windows Vista. Однако программы Filemon and Regmon оставлены для поддержки устаревших операционных систем, включая и Windows 9x.
Думаю возможности у Filemon и Process Monitor одни и те же.
Запускал Process Monitor на 4-х машинах имеющих доступ к сетевому ресурсу. Папку предварительно удалил. После примерно часа папка была создана. По владельцу папки определил с какой машины была создана. В логах Process Monitor никакого события по созданию папки нет.
Re: Как отследить создание папки в Windows
Добавлено: 2009-10-26 12:18:40
paradox
далеко не одно и тоже
Код: Выделить всё
26.04.2007 10:53 80Ъ273 DiskMon.zip
26.04.2007 10:14 59Ъ790 WinObj.zip
24.01.2007 20:43 291Ъ658 DebugView.zip
26.04.2007 10:57 285Ъ554 Filemon.zip
04.10.2005 11:55 371Ъ712 DeviceTree218.exe
21.07.2001 18:31 614Ъ400 DeviceTree26.exe
30.04.2007 22:10 271Ъ346 Regmon.zip
30.04.2007 22:21 980Ъ300 ProcessMonitor.zip
04.05.2007 17:13 97Ъ863 TdiMon.zip
25.02.2007 19:54 881Ъ276 v10n1.pdf
25.02.2007 19:40 170Ъ142 dbgmon_v43.zip
25.02.2007 19:44 5Ъ356 ddkbuild_v610.zip
25.02.2007 19:44 7Ъ796 ddkbuild_v70b5.zip
25.02.2007 19:41 415Ъ393 diskview_v1.zip
25.02.2007 19:50 135Ъ924 FileSpy_V1.zip
25.02.2007 19:46 191Ъ100 IrpTracker_V218_x86.zip
25.02.2007 19:45 13Ъ726 ntstatus_v2.zip
25.02.2007 19:45 150Ъ427 osrloaderv23.zip
25.02.2007 19:50 855Ъ102 usbfx2lk_v1.2.zip
25.02.2007 19:56 23Ъ649 wdfdio30.zip
16.05.2008 16:41 9Ъ224Ъ560 SysinternalsSuite.zip