Toon posts:

Hoe achterhalen wat bepaalde logfiles wegschreef? *

Pagina: 1
Acties:

zaterdag 28 mei 2011 20:45

Acties:
  • 0Henk 'm!
  • sdk1985
  • Registratie: Januari 2005
  • Laatst online: 00:32

sdk1985

Topicstarter
Is het mogelijk erachter te komen wel programma een bepaald bestand heeft aangemaakt...

Ik heb op de C schijf een aantal output.txt bestanden (5) waar min of meer alles gelogged blijkt te zijn:

output.txt (1539kb aan text...):
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104

15724
ret=0


MSCTFIME UI
Default IME
Tussen taken schakelen



MSCTFIME UI
Default IME

MSCTFIME UI
Default IME
Setup - Cities In Motion
Setup - Cities In Motion
Setup






Atilyo - Chat

MSCTFIME UI
Default IME
Cities.In.Motion.nfo - WordPad
DDE Server Window

MSCTFIME UI
Default IME
...
Tussen taken schakelen



CiceroUIWndFrame




Sebas
Menu Start
ts3client_win64
ts3client_win64
ts3client_win64
ts3client_win64
ts3client_win64
ts3client_win64
ts3client_win64



ts3client_win64
Jump List

Network Flyout


CiceroUIWndFrame
TF_FloatingLangBar_WndTitle
...

Start






CiceroUIWndFrame


SysFader








MSCTFIME UI
Default IME
MSCTFIME UI
Default IME









Crysis 2 komt mogelijk uit zonder Online Pass | Games | Tweakers.net Nieuws - Windows Internet Explorer

Crysis 2 komt mogelijk uit zonder Online Pass | Games | Tweakers.net Nieuws - Windows Internet Explorer
AcroStubUnloadWClass


....

output2.txt

code:
1
2
3
4
5
6
7
8
9
10
11
12
13

TheWorld Browser
TheWorld Browser
TheWorld Browser
TheWorld Browser
TheWorld Browser
TheWorld Browser
TheWorld Browser
TheWorld Browser
TheWorld Browser
TheWorld Browser
TheWorld Browser
TheWorld Browser
...

output3.txt
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14

TopBar
SideBar
BottomBar
MDI
TopBar
SideBar
BottomBar
MDI
TopBar
SideBar
BottomBar
MDI
TopBar
...

output4.txt
code:
1
2
3
4
5
6
7

20651456Internet Explorer_Server
Internet Explorer_Server
Internet Explorer_Server
Internet Explorer_Server
Internet Explorer_Server
Internet Explorer_Server
...

output5.txt
code:
1

Admin= 1Admin= 1Admin= 1Admin= 1Admin= 1Admin= 1Admin= 1Admin= 1Admin= 1Admin= 1Admin= 1Admin= 1Admin= 1Admin= 1


Zou wellicht crash log kunnen zijn van een applicatie (cities in motion komt in de eerste vaak voor) maar lijkt me handig dit zeker te weten... 1tm4 zijn van 11-3-2011 0:24, 5 is van 10-3-2011 17:50.

[Voor 9% gewijzigd door sdk1985 op 28-05-2011 20:48]

Hostdeko webhosting: Sneller dan de concurrentie, CO2 neutraal en klantgericht.

zondag 29 mei 2011 13:06

Acties:
  • 0Henk 'm!
  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

Uitzoeken wat ze ooit heeft gemaakt is lastiger (als het niet uit de logfiles zelf blijkt) dan opletten wie er nu nog in leest of schrijft: dat laatste kan met (MS) Sysinternals Proces Monitor. Al suggereert de datum dat je er niets mee kunt: je natuurlijk de aanmaakdatum/tijd van een bestand heel simpel aanpassen. Maar de kans daarop is klein lijkt me..

Laat (wegens de suggestie van spyware-achtige zaken) wel even een fatsoenlijke virusscanner en evt. rootkit detector lopen en kijk ook zelf wat er aan processen draait.

Welk OS heb je? En als het direct in C:\ staat: voortaan niet meer met adminrechten werken. Nergens voor nodig.
offtopic:
"Programma te achterhalen" zegt wat weinig, ik pas de topictitel een beetje aan.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

zondag 29 mei 2011 13:25

Acties:
  • 0Henk 'm!
  • sdk1985
  • Registratie: Januari 2005
  • Laatst online: 00:32

sdk1985

Topicstarter
Bedankt voor je reactie. Windows 7 Home Premium x64 icm Norton Internet security 2011. UAC uitgeschakeld ivm geen behoefte aan virtuele mappen structuur (60gb c schijf).

Ik ga even googlen op Sysinternals Proces Monitor.

edit: heb een filter gemaakt met path contains output en output.txt is momenteel niet in gebruik.

[Voor 18% gewijzigd door sdk1985 op 29-05-2011 13:34]

Hostdeko webhosting: Sneller dan de concurrentie, CO2 neutraal en klantgericht.

donderdag 9 juni 2011 00:25

Acties:
  • 0Henk 'm!
  • Anoniem: 304782
  • Registratie: Juni 2009
  • Niet online

Anoniem: 304782

F_J_K schreef op zondag 29 mei 2011 @ 13:06:
Uitzoeken wat ze ooit heeft gemaakt is lastiger (als het niet uit de logfiles zelf blijkt) dan opletten wie er nu nog in leest of schrijft: dat laatste kan met (MS) Sysinternals Proces Monitor. Al suggereert de datum dat je er niets mee kunt: je natuurlijk de aanmaakdatum/tijd van een bestand heel simpel aanpassen. Maar de kans daarop is klein lijkt me..

Laat (wegens de suggestie van spyware-achtige zaken) wel even een fatsoenlijke virusscanner en evt. rootkit detector lopen en kijk ook zelf wat er aan processen draait.

Welk OS heb je? En als het direct in C:\ staat: voortaan niet meer met adminrechten werken. Nergens voor nodig.
offtopic:
"Programma te achterhalen" zegt wat weinig, ik pas de topictitel een beetje aan.
Het is ook mogelijk om standaard in windows 7 te kijken welke programmas toegang hebben tot welk bestand op dat moment windows knop + r en dan typ je perfmon.exe /res
of ctrl + shift + esc performace -> resource monitor.

Ik denk dat dat ook het enigste is wat je kan doen.. of vergelijkbaar materiaal op google zoeken.
Reageer

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee