Мало кто знает о том что можно отследить все изменения как файлов та и папок, удаление, создание, изменение, переименование и т.д. Можно даже узнать кто из пользователь это делал. Вариантов с помощью которых можно реализовать эту задачу очень много, от использования стандартных функций до специализированного программного обеспечения.
Настроить все это дела средствами Windows достаточно сложно, более менее профессиональный софт платный. Я же вам хочу рассказать о золотой середине, которой сможет пользоваться даже простой пользователь. Это небольшая бесплатная программа которая поможет отследить изменения файлов в папке.
Как узнать кто когда и какие файлы и папки изменял
Называется эта программа FolderChangesView, ссылку на её скачивание найдете в кончен статьи. Программа бесплатная с простым и понятным интерфейсом. Правда есть один нюанс она не русифицирована. Но думаю сейчас это уже не проблема.
Запускаем программу и копируем путь до отслеживаемой папки с файлами. Отмечаем первый пункт «Monitor all subfolders inder the specified folders».
Как найти путь к файлу или папке программы
Теперь попробуем создать новый документ.
Программу тут же заменить новый файл и отобразит его в истории изменений. Вы сможете узнать, имя нового файла, кто создал (при учете если у вас каждый пользователь заходит под своей учетной записью), время и дату.
Дальше попробуем что нибудь удалить.
Эти изменения так же отразятся в программе и вы сможете узнать кто, когда и какой файл удалил.
Если попробовать изменить какой нибудь файл например, текстовый документ.
Вот таким образом можно отслеживать изменения в файлах и папках. Программа подойдет для локального использования. Для отслеживания изменений скажем на сетевых ресурсах лучше использовать что посерьезней.
Источник: sibsisadmin.ru
Как узнать какой скрипт/программа создает определенную папку на сервере?
В корне сайта периодически появляется папка temp с непонятными файлами. Я думаю что это какой-то шелл создает его чтобы заполнить память диска. Я его удаляю, а на следующий день он заново создается и в нем снова непонятные файлы. Поискал в сети что это может быть за папка. Узнал что многие программы создают его для отчетов и прочих данных.
Как определить какой программой открыть файл
Как я могу уточнить это серверная программа делает это или на сервер залит шелл? Например файл example.com/temp/u/d3d3LmZsYXRvdXIuY29tL215YWR2cy9ydS8%3D.txt содержит лишь строку
dHJlYXN1cmV0b3duLzQ1NDg3NDUyOTQzMjMv
И эта папка состоит только из таких файлов. Сервер у меня Centos6, VPS, панель ISPmanager, включен nginx, memcached, clamav.
Отслеживать
67.7k 208 208 золотых знаков 76 76 серебряных знаков 218 218 бронзовых знаков
задан 26 авг 2016 в 14:09
Hasanagha Aliyev Hasanagha Aliyev
391 2 2 серебряных знака 11 11 бронзовых знаков
Непонятная папка и файлы — очень обтекаемая формулировка. Уточните, пожалуйста, имена файлов и примеры содержания.
26 авг 2016 в 14:11
26 авг 2016 в 14:13
Имя файла и содержимое это строка в кодировке base64. Имя файла содержит такую ссылку: www.flatour.com/myadvs/ru/ , а содержимое после расшифровки такое: treasuretown/4548745294323/
26 авг 2016 в 14:15
И что это значит? Да это сайт на котором эти проблемы. Но вопрос все еще остается в силе. что создает эти файлы
26 авг 2016 в 14:17
Похоже, что treasuretown это часть этого url: http://item.rakuten.co.jp/treasuretown/4548745294323/ . Возможно, с вашего сайта продают ссылки. Проверьте файлы сайта манулом
26 авг 2016 в 14:27
2 ответа 2
Сортировка: Сброс на вариант по умолчанию
Можно попробовать запустить команду lsof , которая отображает какая программа в данный момент открыла файл. Работает так:
$ lsof /path/to/file
Можно запустить с периодом в 1 секунду:
$ lsof -r1 /path/to/file
Ну и логгировать это всё в файл. Если держать при этом открытой ssh сессию не хочется, то можно использовать какой-нибудь gnu screen или подобную программу.
Если программа отрабатывает слишком быстро и по этим логам её поймать не получится, то можно сделать ну совсем костыльно запускать как можно чаще
$ while true; do lsof /paht/to/file; done;
Отслеживать
ответ дан 26 авг 2016 в 14:17
3,061 11 11 серебряных знаков 19 19 бронзовых знаков
попробовал lsof. никаких результатов
26 авг 2016 в 14:20
26 авг 2016 в 14:25
Извиняюсь. неправильно вставлял код, в ssh опыта мало. подправил,сечас выводит Permission denied
26 авг 2016 в 14:28
26 авг 2016 в 15:47
выдает does not exist
26 авг 2016 в 16:31
Вам может помочь пакет auditd. Пример:
# auditctl -w /temp # mkdir /temp # mkdir /temp/u # ausearch -f /temp —- time->Mon Aug 29 16:32:43 2016 type=CONFIG_CHANGE msg=audit(1472473963.517:46): auid=4294967295 ses=4294967295 op=»updated_rules» path=»/temp» key=(null) list=4 res=1 —- time->Mon Aug 29 16:32:43 2016 type=PROCTITLE msg=audit(1472473963.489:47): proctitle=6D6B646972002F74656D70 type=PATH msg=audit(1472473963.489:47): item=1 name=»/temp» inode=10691 dev=08:03 mode=040755 ouid=0 ogid=0 rdev=00:00 nametype=CREATE type=PATH msg=audit(1472473963.489:47): item=0 name=»/» inode=2 dev=08:03 mode=040755 ouid=0 ogid=0 rdev=00:00 nametype=PARENT type=CWD msg=audit(1472473963.489:47): cwd=2F686F6D652F73657267696F2F456CC59D75746F6A type=SYSCALL msg=audit(1472473963.489:47): arch=40000003 syscall=39 success=yes exit=0 a0=bf82f7a3 a1=1ff a2=bf82f7a3 a3=bf82ee64 items=2 ppid=22390 pid=24813 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts8 ses=4294967295 comm=»mkdir» exe=»/bin/mkdir» key=(null) —- time->Mon Aug 29 16:34:21 2016 type=PROCTITLE msg=audit(1472474061.417:71): proctitle=6D6B646972002F74656D702F75 type=PATH msg=audit(1472474061.417:71): item=1 name=»/temp/u» inode=10693 dev=08:03 mode=040755 ouid=0 ogid=0 rdev=00:00 nametype=CREATE type=PATH msg=audit(1472474061.417:71): item=0 name=»/temp/» inode=10691 dev=08:03 mode=040755 ouid=0 ogid=0 rdev=00:00 nametype=PARENT type=CWD msg=audit(1472474061.417:71): cwd=2F686F6D652F73657267696F2F456CC59D75746F6A type=SYSCALL msg=audit(1472474061.417:71): arch=40000003 syscall=39 success=yes exit=0 a0=bfe2c7a1 a1=1ff a2=bfe2c7a1 a3=bfe2a9a4 items=2 ppid=22390 pid=24846 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts8 ses=4294967295 comm=»mkdir» exe=»/bin/mkdir» key=(null)
Источник: ru.stackoverflow.com
Как узнать чем была скомпилирована программа?
в большинстве случаев это знание мало полезно. ну узнаете что c++ например скомпилировано, вы думаете через среду разработки с++ файл можно будет назад в исходники декомпилировать?
это поможет только в редких случаях типа C# если не ошибаюсь. во всех остальных случаях в лучшем случае удастся только дизассемблировать, то есть получите вы не исходники а ассемблерный код.
Ответ написан более трёх лет назад
Комментировать
Нравится 3 Комментировать
Python-разработчик
Используйте утилиты Detect it easy, ExeInfoPE либо PEiD, определяющие компилятор по сигнатурам, а также обладающие другим полезным функционалом (определение упаковщика, компоновщика и пр.)
Ответ написан более двух лет назад
Комментировать
Нравится 1 Комментировать
Программист
На хакерский форум обратитесь, там вам помогут.
Ответ написан более трёх лет назад
Комментировать
Нравится Комментировать
Раздолбай и программист
Загрузите на VT, может покажет.
Ответ написан более трёх лет назад
Комментировать
Нравится Комментировать
чуть программист, чуть чуть админ.
Ваш вопрос звучит не очень корректно.. Суть какая, все приложения имеют одно расширение exe, те которые написаны на C# можно определить с помощью MSIL. Для С++ все будет выглядеть одинаково для всех компиляторов и отличить их можно по косвенным признакам (секциям, выравниваниям).
Но иногда собранные файлы, для того что бы они занимали меньше места упаковывают и для этого используются программы упаковщики и определить упаковщик как раз более реальная задача и это можно сделать, если вам все таки нужно это
Ответ написан более трёх лет назад
Комментировать
Нравится Комментировать
Жил-был у бабушки серенький троллик.
Вы всерьез думаете, что компиляция и декомпиляция — два взаимно-обратных процесса? Для С/С++ это точно не так. Вот Вы узнали, что комплировалось через Visual Studio — чем это знание Вам поможет? Декомпиляция с восстановлением исходника возможна в тех очень редких случаях, когда в программе полно информации отладчика, обычно же ее убирают. Если бы все было так просто, не было бы проблемы Open Source vs Close Source 🙂
Ответ написан более трёх лет назад
Комментировать
Нравится Комментировать
Ресурс Explorer какой-нибудь поюзай, если прога не шифрованная. Там есть в ресурсах дефолтные иконки наверняка и какие-то ресурсы, названия классов, которые дадут подсказку. Иногда такие проги позволяют какие-то минимальные правки делать, типа название окна поменять. Вообще иногда можно по составу модулей и GUI угадать 🙂 Но честно говоря декомпиляция мало что даст.
Черт ногу сломишь в исходниках, да и очень много кода получается. Чуть ли не гигабайты текста.
Ответ написан более трёх лет назад
Комментировать
Нравится Комментировать
Ваш ответ на вопрос
Войдите, чтобы написать ответ
- Windows
Где искать инфу об обновлении образа Windows 11?
- 2 подписчика
- 18 часов назад
- 128 просмотров
- Windows
- +1 ещё
Как установить систему windows на ssd-диск, если на втором hdd уже стоит?
- 1 подписчик
- 19 часов назад
- 79 просмотров
Источник: qna.habr.com