---

Håber det er den rigtigt gruppe...

En Windows Server 2003 blev et par dage kompromitteret, og tilsyneladende
brugt som fildelingsserver. Et af maskinens drev har en del gigabytes som
ikke er til at få synlige, der ligger filer der er totalt skjulte, kun via
disk defragmentering kan filnavnene ses, ikke via stifinder. "Egenskaber"
for drevet viser ligeledes at der er filer til stede, som fylder en del -
men de er som sagt ikke til at få øje på.

Hvordan kan jeg gøre disse filer synlige, så de kan blive slettet? Findes
der et program der kan gennemløbe disken og liste alle skjulte filer, eller
lignende?

Mvh
Steffen

---

SL wrote:
>
> Hvordan kan jeg gøre disse filer synlige, så de kan blive slettet? Findes
> der et program der kan gennemløbe disken og liste alle skjulte filer, eller
> lignende?

Hvis du ikke ved hvordan de er skjult, så kan du heller
ikke være sikker på, om der ligger mere. Det kan være,
der bare ligger et directory et eller andet sted, hvor
du ikke har kigget. Det kan også være, der er blevet
pillet ved kernen, så et directory blot ikke fremgår af
en directory listning.

Under alle omstændigheder er du ude i en situation,
hvor en reinstalltion er den eneste nogenlunde sikre
løsning, og stadig kun, hvis du derudover sørger for at
finde og lukke hullet, inden maskinen sættes på nettet
igen.

--
Kasper Dupont

---

"SL" <slieberkind@hotmail.com> wrote in message
news:6pF8d.7755$wr2.1254@news.get2net.dk...
> Håber det er den rigtigt gruppe...
>
> En Windows Server 2003 blev et par dage kompromitteret, og tilsyneladende
> brugt som fildelingsserver. Et af maskinens drev har en del gigabytes som
> ikke er til at få synlige, der ligger filer der er totalt skjulte, kun via
> disk defragmentering kan filnavnene ses, ikke via stifinder. "Egenskaber"
> for drevet viser ligeledes at der er filer til stede, som fylder en del -
> men de er som sagt ikke til at få øje på.
>

Og det er ikke bare System Restore filer?
Hvis du sætter den til at vise operativ system filer, så ligger der på hver
partition en mappe som hedder "System Volume Information". Du bliver så også
nødt til at give din bruger læse rettighed dertil for at kigge. I den ligger
de filer som bliver brugt hvis Shadow Copy eller System Restore er slået
til.

---

"SL" <slieberkind@hotmail.com> skrev i en meddelelse
news:6pF8d.7755$wr2.1254@news.get2net.dk...
> Hvordan kan jeg gøre disse filer synlige, så de kan blive slettet? Findes
> der et program der kan gennemløbe disken og liste alle skjulte filer,
eller
> lignende?

Hvis det er almindelige skjulte filer, kan du fra en dos promt lave en
"attrib C:\*.* /s" Den laver en liste over alle almindelige filer på C
drevet. Hvis du piper det over i en fil, kan du i den søge på de filnavne du
har set, og finde hvor de ligger. Men den slags vil du også kunne finde i
stifinderen, hvis du ellers ikke har flueben i opsætningen til at skjule
systemfiler, skjulte filer og lign.

Det største problem er nok snarer at det ikke behøves at være filer, men
måske en stream. Disse kan ligge i andre filer eller mapper, eller sågar rod
folderen. Og eneste måde at komme af med dem på er at slette
moder-filerne/folderen, eller, hvis det er rodfolderen, formatere
harddisken. For at se disse streams, skal du enten kende moder-filen samt
navnet på stream'en, eller bruge 3-parts værktøjer, såsom Sysinternals
"streams.exe". (www.sysinternals.com) Og så ignorere disse streams iøvrigt
også quotas og andet smart sikkerhed som MS ellers har indbygget i 2003.
Faktisk er de det perfekte værktøj for hackere. - Og nævnte jeg at ingen
(afaik) virus/spyware scannere kigger efter streams?

Det korte med det lange er, at en evt. hacker kan have lagt ting du ikke kan
slette uden at formatere harddisken. Så det er værd at overveje selv at
starte med den tur.

Mvh
Anders