gelöst Suche nach Dateien mit doppelter Dateiendung
Kangaroojack (Level 1) - Jetzt verbinden
18.02.2016 um 18:51 Uhr, 1543 Aufrufe, 18 Kommentare, 2 Danke
Hallo Leute,
evtl. eine triviale Aufgabe, aber ich bekomme es nicht hin.
Ziel ist es von diesen blöden Verschlüsselungsviren betroffene Files zu finden. Bisher werden da ja (zum Glück noch) Dateiendungen angehangen, so dass man das noch analysieren kann.
Die Files heissen dann meist *.txt.mp3 oder *.doc.vvv etc.
Habe ein Powershellskript, welches mit das Dateisystem durchsucht und in eine Variable ausgibt.
Ich mache das bewusst mit dir /s /b weil Get-ChildItem einfach viel zu langsam ist.
Nun ist mir die Suche allerdings zu ungenau - da die Files bei einem Befall von Morgen evtl. die Endung *.zdf haben können.
Jetzt möchte ich die Suche dahingehend ändern, dass nach
*.???.???
gesucht wird.
Also quasi nach zwei "Punkten" mit genau 3 zeichen, die variabel sein können, dazwischen.
Hab schon bisschen rumgespielt, aber bekomme es nicht hin.
bzw.
oder
bringt leider auch die Files, die eine normale Dateiendung haben z.B. *.txt und halt nicht wie gewünscht nur Dateien mit *.txt.*
Habt ihr eine Idee für die Umsetzung?
Gruß
KangarooJack
evtl. eine triviale Aufgabe, aber ich bekomme es nicht hin.
Ziel ist es von diesen blöden Verschlüsselungsviren betroffene Files zu finden. Bisher werden da ja (zum Glück noch) Dateiendungen angehangen, so dass man das noch analysieren kann.
Die Files heissen dann meist *.txt.mp3 oder *.doc.vvv etc.
Habe ein Powershellskript, welches mit das Dateisystem durchsucht und in eine Variable ausgibt.
Ich mache das bewusst mit dir /s /b weil Get-ChildItem einfach viel zu langsam ist.
01.
$Virusverdacht = cmd /c dir /s /b *.micro *.vvv *.encrypted *.ccc *.aaa *HOW_RECOVER* *HELP_RECOVER* *howto_recover*Jetzt möchte ich die Suche dahingehend ändern, dass nach
*.???.???
gesucht wird.
Also quasi nach zwei "Punkten" mit genau 3 zeichen, die variabel sein können, dazwischen.
Hab schon bisschen rumgespielt, aber bekomme es nicht hin.
01.
dir /s /b *.???.01.
dir /s /b *.???.*01.
$Virusverdacht = cmd /c dir /s /b | select-string -pattern ".*."Habt ihr eine Idee für die Umsetzung?
Gruß
KangarooJack
18 Antworten
- LÖSUNG 126919 schreibt am 18.02.2016 um 20:18:39 Uhr
- LÖSUNG Kangaroojack schreibt am 18.02.2016 um 20:27:34 Uhr
- LÖSUNG 126919 schreibt am 18.02.2016 um 20:50:39 Uhr
- LÖSUNG Kangaroojack schreibt am 18.02.2016 um 23:30:40 Uhr
- LÖSUNG 126919 schreibt am 19.02.2016 um 11:23:28 Uhr
- LÖSUNG Kangaroojack schreibt am 18.02.2016 um 23:30:40 Uhr
- LÖSUNG TlBERlUS schreibt am 19.02.2016 um 09:04:52 Uhr
- LÖSUNG Kangaroojack schreibt am 19.02.2016 um 12:58:25 Uhr
- LÖSUNG TlBERlUS schreibt am 19.02.2016 um 13:45:57 Uhr
- LÖSUNG Kangaroojack schreibt am 19.02.2016 um 14:26:32 Uhr
- LÖSUNG 126919 schreibt am 19.02.2016 um 14:44:55 Uhr
- LÖSUNG Kangaroojack schreibt am 19.02.2016 um 14:26:32 Uhr
- LÖSUNG TlBERlUS schreibt am 19.02.2016 um 13:45:57 Uhr
- LÖSUNG Kangaroojack schreibt am 19.02.2016 um 12:58:25 Uhr
- LÖSUNG 126919 schreibt am 18.02.2016 um 20:50:39 Uhr
- LÖSUNG Kangaroojack schreibt am 18.02.2016 um 20:27:34 Uhr
- LÖSUNG joachim57 schreibt am 19.02.2016 um 11:20:46 Uhr
- LÖSUNG Kangaroojack schreibt am 22.02.2016 um 17:50:23 Uhr
- LÖSUNG colinardo schreibt am 22.02.2016 um 20:30:30 Uhr
- LÖSUNG Kangaroojack schreibt am 22.02.2016 um 20:44:49 Uhr
- LÖSUNG colinardo schreibt am 23.02.2016 um 00:19:34 Uhr
- LÖSUNG colinardo schreibt am 23.02.2016 um 11:59:02 Uhr
- LÖSUNG Kangaroojack schreibt am 23.02.2016 um 21:45:02 Uhr
- LÖSUNG colinardo schreibt am 02.03.2016 um 16:40:37 Uhr
- LÖSUNG Kangaroojack schreibt am 23.02.2016 um 21:45:02 Uhr
- LÖSUNG Kangaroojack schreibt am 22.02.2016 um 20:44:49 Uhr
- LÖSUNG colinardo schreibt am 22.02.2016 um 20:30:30 Uhr
LÖSUNG 18.02.2016, aktualisiert um 20:19 Uhr
gci 'c:\*.???.???' -Recurse -Force
LÖSUNG 18.02.2016, aktualisiert um 20:34 Uhr
gci ist viel zu langsam und scheidet daher aus. Dachte das hätte ich bereits oben erwähnt.
LÖSUNG 18.02.2016, aktualisiert um 20:51 Uhr
dir /b /s /A-D | findstr "\....\....$"LÖSUNG 18.02.2016, aktualisiert um 23:31 Uhr
Danke für dein Post!
Das funktioniert. Leider bringt mir das jetzt viel zu viele Ergebnisse zurück.
Wenn man das jetzt noch filtern könnte, also dass nur Dateien gelistet werden, die heute geschrieben/geändert wurden - dann wärs denke ich okay.
also in etwa so:
Leider steht damit im Ergebnis kein Pfad drin und man müsste Datum/Uhrzeit wegtrimmen....
Und mit dir /s /b... lässt sich nicht nach dem Datum filtern...hmmmm
Das funktioniert. Leider bringt mir das jetzt viel zu viele Ergebnisse zurück.
Wenn man das jetzt noch filtern könnte, also dass nur Dateien gelistet werden, die heute geschrieben/geändert wurden - dann wärs denke ich okay.
also in etwa so:
01.
dir /s /A-D | findstr "18.02.2016" | findstr "\....\....$"Leider steht damit im Ergebnis kein Pfad drin und man müsste Datum/Uhrzeit wegtrimmen....
Und mit dir /s /b... lässt sich nicht nach dem Datum filtern...hmmmm
LÖSUNG 19.02.2016, aktualisiert um 09:08 Uhr
Zitat von Kangaroojack:
gci ist viel zu langsam und scheidet daher aus. Dachte das hätte ich bereits oben erwähnt.
Dir ist aber bewußt, dass 'dir' in Powershell ein Alias für 'gci' ist, und dazu in der Ausführung langsamer ist?gci ist viel zu langsam und scheidet daher aus. Dachte das hätte ich bereits oben erwähnt.
Zeit für ein Verzeichnis mit 598 Ordnern und 24.026 Dateien (mit recurse)
01.
dir: 00:00:03.3278915
02.
gci: 00:00:03.2744544LÖSUNG 19.02.2016 um 11:20 Uhr
Ich experimentiere auch gerade mit sowas rum. Im Moment sieht mein Code so aus:
Ausführungszeit bei 14.647 Dateien, 2.072 Ordner, 13,9 GB ca. 4 Sekunden
Die Idee dafür stammt von HIER
Bin leider nicht so fit mit Powershell. Ist also bestimmt noch verbesserungsfähig...
01.
Write-Host ("Powershell Version: " + $host.version.major)
02.
03.
$path="D:\LWE"
04.
$scriptPath = split-path -parent $MyInvocation.MyCommand.Definition
05.
$strOutFileName=$scriptPath + "\DateiListe.txt"
06.
write-Host ("Output file is: " + $strOutFileName )
07.
If (Test-Path $strOutFileName){
08.
Remove-Item $strOutFileName
09.
}
10.
11.
$checkfiles=@(
12.
"*decipher*"
13.
,"*install_tor*.*"
14.
,"*restore_file*.*"
15.
,"*want your files back.*"
16.
,"confirmation.key"
17.
,"enc_files.txt"
18.
,"last_chance.txt"
19.
,"recovery_file.txt"
20.
,"recovery_key.txt"
21.
,"*help_your_files*.*"
22.
,"*help_restore*.*"
23.
,"*HELP_TO_DECRYPT*.*"
24.
,"*HELP_TO_SAVE*.*"
25.
,"*HELP_DECRYPT*.*"
26.
,"*HOW_DECRYPT*.*"
27.
,"*how_to_recover*.*"
28.
,"*DecryptAllFiles*.txt"
29.
,"*DECRYPT_INSTRUCTION*.*"
30.
,"*recover_instructions.*"
31.
,"*.locky"
32.
,"*.*yC"
33.
,"*.jpg.*"
34.
,"*.jpeg.*"
35.
,"*.doc.*"
36.
,"*.docx.*"
37.
,"*.xls.*"
38.
,"*.xlsx.*"
39.
,"*.pdf.*"
40.
,"*.xml.*"
41.
)
42.
43.
$mypath=$path + "\*"
44.
45.
if ($host.version.major -gt 2) {
46.
#Powershell 4, ignore instead silentlycontinue
47.
$fileslist=@(get-childitem -path $mypath -Recurse -Include $checkfiles -ErrorAction Ignore)
48.
} else {
49.
#Powershell 2 doesn't have ignore and recurse works differently with wildcards, therefore returns all files and is much, much slower than posh4
50.
$fileslist=@(get-childitem -path $mypath -Recurse -Include $checkfiles -ErrorAction SilentlyContinue)
51.
}
52.
53.
# Write-Host $fileslist
54.
55.
foreach ($item in $fileslist) {
56.
# hier könnte man noch nach Datum filtern
57.
58.
if ($host.version.major -gt 2) {
59.
#Powershell 4, ignore instead silentlycontinue
60.
$a="$_$((get-item $item.fullname -erroraction ignore).lastwritetime.tostring("dd.MM.yyyy HH:mm:ss"))`t$($item.Fullname)"
61.
} else {
62.
#Powershell 2 doesn't have ignore and recurse works differently with wildcards, therefore returns all files and is much, much slower than posh4
63.
$a="$_$((get-item $item.fullname).lastwritetime.tostring("dd.MM.yyyy HH:mm:ss"))`t$($item.Fullname)"
64.
}
65.
66.
Out-File -filePath $strOutFileName -inputobject $a -append
67.
}Ausführungszeit bei 14.647 Dateien, 2.072 Ordner, 13,9 GB ca. 4 Sekunden
Die Idee dafür stammt von HIER
Bin leider nicht so fit mit Powershell. Ist also bestimmt noch verbesserungsfähig...
LÖSUNG 19.02.2016, aktualisiert um 11:39 Uhr
Zitat von Kangaroojack:
Danke für dein Post!
Das funktioniert. Leider bringt mir das jetzt viel zu viele Ergebnisse zurück.
Wenn man das jetzt noch filtern könnte, also dass nur Dateien gelistet werden, die heute geschrieben/geändert wurden - dann wärs denke ich okay.
Kein Problem, wenn man's vorher weiß ...Danke für dein Post!
Das funktioniert. Leider bringt mir das jetzt viel zu viele Ergebnisse zurück.
Wenn man das jetzt noch filtern könnte, also dass nur Dateien gelistet werden, die heute geschrieben/geändert wurden - dann wärs denke ich okay.
01.
@echo off & setlocal ENABLEDELAYEDEXPANSION
02.
for /f "delims=" %%a in ('dir /B /S /A-D "C:\" ^| findstr "\....\....$"') DO set t=%%~ta & if "!t:~0,10!" == "%DATE%" echo %%alässt sich für Dateien die sich heute geändert haben so abkürzen:
01.
$path = "C:\Ordner"
02.
$trigger=@(
03.
".*decipher.*"
04.
,".*install_tor.*\..*"
05.
,".*restore_file.*\..*"
06.
,".*want your files back\..*"
07.
,"confirmation\.key"
08.
,"enc_files\.txt"
09.
,"last_chance\.txt"
10.
,"recovery_file\.txt"
11.
,"recovery_key\.txt"
12.
,".*help_your_files.*\..*"
13.
,".*help_restore.*\..*"
14.
,".*HELP_TO_DECRYPT.*\..*"
15.
,".*HELP_TO_SAVE.*\..*"
16.
,".*HELP_DECRYPT.*\..*"
17.
,".*HOW_DECRYPT.*\..*"
18.
,".*how_to_recover.*\..*"
19.
,".*DecryptAllFiles.*\.txt"
20.
,".*DECRYPT_INSTRUCTION.*\..*"
21.
,".*recover_instructions.*"
22.
,".*\.locky"
23.
,".*\..*yC"
24.
,".*\.jpg\..*"
25.
,".*\.jpeg\..*"
26.
,".*\.doc\..*"
27.
,".*\.docx\..*"
28.
,".*\.xls\..*"
29.
,".*\.xlsx\..*"
30.
,".*\.pdf\..*"
31.
,".*\.xml\..*"
32.
) -join '|'
33.
34.
gci $path -Recurse -ErrorAction Ignore | ?{$_.LastWriteTime.date -eq (get-date).Date -and $_.Name -match $trigger}LÖSUNG 19.02.2016 um 12:58 Uhr
Zitat von TlBERlUS:
Zeit für ein Verzeichnis mit 598 Ordnern und 24.026 Dateien (mit recurse)
Zitat von Kangaroojack:
gci ist viel zu langsam und scheidet daher aus. Dachte das hätte ich bereits oben erwähnt.
Dir ist aber bewußt, dass 'dir' in Powershell ein Alias für 'gci' ist, und dazu in der Ausführung langsamer ist?gci ist viel zu langsam und scheidet daher aus. Dachte das hätte ich bereits oben erwähnt.
Zeit für ein Verzeichnis mit 598 Ordnern und 24.026 Dateien (mit recurse)
01.
> dir: 00:00:03.3278915
02.
> gci: 00:00:03.2744544
03.
> deshalb ja auch
cmd / c dir....
DIR ist bei sehr vielen Dateien um WELTEN schneller als GCI! Habs selber probiert. Wenn ich über GCI suche, braucht mein Skript >30 Minuten.
mit DIR ist es oft in ca. 10 Minuten durch!
Hier ein Post dazu:
http://www.codeproject.com/Articles/767649/Get-ChildItem-vs-Dir-in-Powe ...">http://www.codeproject.com/Articles/767649/Get-ChildItem-vs-Dir-in-Powe ...
LÖSUNG 19.02.2016 um 13:45 Uhr
Zitat von Kangaroojack:
DIR ist bei sehr vielen Dateien um WELTEN schneller als GCI! Habs selber probiert. Wenn ich über GCI suche, braucht mein Skript >30 Minuten.
mit DIR ist es oft in ca. 10 Minuten durch!
Wie viele Dateien durchsuchst du denn da?DIR ist bei sehr vielen Dateien um WELTEN schneller als GCI! Habs selber probiert. Wenn ich über GCI suche, braucht mein Skript >30 Minuten.
mit DIR ist es oft in ca. 10 Minuten durch!
Danke, werde ich mir bei Gelegenheit zu Gemüte führen!
LÖSUNG 19.02.2016 um 14:26 Uhr
Zitat von TlBERlUS:
Zitat von Kangaroojack:
DIR ist bei sehr vielen Dateien um WELTEN schneller als GCI! Habs selber probiert. Wenn ich über GCI suche, braucht mein Skript >30 Minuten.
mit DIR ist es oft in ca. 10 Minuten durch!
Wie viele Dateien durchsuchst du denn da?DIR ist bei sehr vielen Dateien um WELTEN schneller als GCI! Habs selber probiert. Wenn ich über GCI suche, braucht mein Skript >30 Minuten.
mit DIR ist es oft in ca. 10 Minuten durch!
Hier ein Post dazu:
http://www.codeproject.com/Articles/767649/Get-ChildItem-vs-Dir-in-Powe ...">http://www.codeproject.com/Articles/767649/Get-ChildItem-vs-Dir-in-Powe ...
Danke, werde ich mir bei Gelegenheit zu Gemüte führen!http://www.codeproject.com/Articles/767649/Get-ChildItem-vs-Dir-in-Powe ...">http://www.codeproject.com/Articles/767649/Get-ChildItem-vs-Dir-in-Powe ...
Es werden schon ettliche 100.000de Dateien (evtl. sogar Millionen) sein. habs noch nicht genau gezählt.
Ein Order der letztens befallen war hatte allein schon 123.000 Dateien.
LÖSUNG 19.02.2016 um 14:44 Uhr
s. oben ...
LÖSUNG 22.02.2016, aktualisiert um 17:53 Uhr
Vielen Dank an alle, besonders FLACHKOEPPER!
Also,
ich habe das jetzt so umgesetzt:
1. eine Batch - die dann, wenn nötig ein Powershellskript startet um die Fileliste auszuwerten
(habs nicht hinbekommen die for-Schleife mit einem cmd /c aus der powershell zu starten - kein Plan was das Ding hat, meckert jedenfalls immer rum)
2. Das Powershellskript, was die Auswertung macht und falls nötig eine Mail verschickt. In der Mitte ein Codeblock in dem man ggf. Ausnahmen definieren kann.
Wird also eine Datei mit doppelter Dateiendung sowie heutigem Datum gefunden, schreibt das Teil sie ins Log und schickt sie am Ende als Mail raus.
Das ganze habe ich als Task, jede Stunde, auf den Fileservern rennen.
Leider ist es halt so, dass er natürlich den ganzen Tag jede Stunde ne Mail raushaut, wenn eine entsprechende Datei angelegt wird.
Daher werde ich noch versuchen, die Dateien anhand der Uhrzeit (Stunde) zu filtern, da es bei uns doch recht viele Dateien mit doppelter Dateiendung im System gibt, sodass nur noch einmalig eine Mail rausgeht.
dann würde nur
Also,
ich habe das jetzt so umgesetzt:
1. eine Batch - die dann, wenn nötig ein Powershellskript startet um die Fileliste auszuwerten
(habs nicht hinbekommen die for-Schleife mit einem cmd /c aus der powershell zu starten - kein Plan was das Ding hat, meckert jedenfalls immer rum)
01.
@echo off & setlocal ENABLEDELAYEDEXPANSION
02.
chcp 1252
03.
set "Pfad=X:\xxx\xxx"
04.
set "Output=C:\Skript\VirusCheckDateien.txt"
05.
set "Skript=C:\Skript\VirusCheck.ps1"
06.
if exist "%Output%" (del /Q "%Output%")
07.
08.
for /f "delims=" %%a in ('dir /B /S /A-D "%Pfad%" ^| findstr "\....\....$"') DO set t=%%~ta & if "!t:~0,10!" == "%DATE%" echo %%~ta %%a>>%Output%
09.
if exist "%Output%" ( C:\Windows\System32\WindowsPowerShell\v1.0\PowerShell.exe -ExecutionPolicy Bypass -Command "& '%Skript%'" )2. Das Powershellskript, was die Auswertung macht und falls nötig eine Mail verschickt. In der Mitte ein Codeblock in dem man ggf. Ausnahmen definieren kann.
01.
chcp 1252
02.
$INPUT = "C:\Skript\VirusCheckDateien.txt"
03.
$file = "C:\Skript\VirusCheckVerdacht.txt"
04.
$Datum = Get-Date -format dd.MM.yyyy
05.
$HName = $(Get-WmiObject Win32_Computersystem).name
06.
$pw = Get-Content C:\Skript\MailPW.txt | ConvertTo-SecureString
07.
$cred = New-Object System.Management.Automation.PSCredential "Benutzername", $pw
08.
$MailEmpfaenger = @("xxx.xxx@xxx.de", "yyyy.yyy@yyy.de")
09.
10.
$Virusverdacht = select-string $INPUT -pattern "$Datum" | ForEach-Object {$_.Line -replace "$Datum.......", ""}
11.
$Virusverdacht | Out-file $file
12.
13.
#foreach ($str in $Virusverdacht)
14.
#{
15.
# if ($str -like '*log.tmp*') {
16.
# SubString ist nicht enthalten; die * sind bedingt erforderlich
17.
# } else {
18.
# $str | out-file $file -append # SubString ist enthalten -> Zeile wird an die Datei angehängt
19.
# if ($str -like '*xml.log*') {
20.
# } else {
21.
# if ($str -like '*zip.xte*') {
22.
# } else {
23.
# if ($str -like '*zip.log*') {
24.
# } else {
25.
# if ($str -like '*dat.log*') {
26.
# } else {
27.
# if ($str -like '*csv.log*') {
28.
# } else {
29.
# $str | out-file $file -append # SubString ist enthalten -> Zeile wird an die Datei angehängt
30.
# }
31.
# }
32.
# }
33.
# }
34.
# }
35.
# }
36.
#}
37.
38.
if (Test-path "$file" ) {
39.
# Test ob File existiert, falls ja dann
40.
Send-MailMessage -SmtpServer mailserver.domaene -to $MailEmpfaenger -from "xxx.xxx@xxx.de" -Subject "!!! Achtung Virusverdacht Laufwerk, Bitte pruefen!!!" -Attachments $file -Priority High -Credential $cred
41.
Remove-Item $file
42.
Remove-Item $INPUT
43.
} else {
44.
# Test ob File existiert, falls nein dann
45.
}
46.
Wird also eine Datei mit doppelter Dateiendung sowie heutigem Datum gefunden, schreibt das Teil sie ins Log und schickt sie am Ende als Mail raus.
Das ganze habe ich als Task, jede Stunde, auf den Fileservern rennen.
Leider ist es halt so, dass er natürlich den ganzen Tag jede Stunde ne Mail raushaut, wenn eine entsprechende Datei angelegt wird.
Daher werde ich noch versuchen, die Dateien anhand der Uhrzeit (Stunde) zu filtern, da es bei uns doch recht viele Dateien mit doppelter Dateiendung im System gibt, sodass nur noch einmalig eine Mail rausgeht.
dann würde nur
LÖSUNG 22.02.2016, aktualisiert um 20:32 Uhr
Hallo @Kangaroojack
Oder man macht das intelligent mit einem Filesystemwatcher der automatisch sofort anspringt wenn eine verdächtige Datei entdeckt wird (Zeile 18 zum Verschicken der Mail ist auskommentiert da die Parameter erst angepasst werden müssen). Zur Demo gibt das Skript bei Erstellung einer verdächtigen Datei dies auf der Konsole aus.
Grüße Uwe
Oder man macht das intelligent mit einem Filesystemwatcher der automatisch sofort anspringt wenn eine verdächtige Datei entdeckt wird (Zeile 18 zum Verschicken der Mail ist auskommentiert da die Parameter erst angepasst werden müssen). Zur Demo gibt das Skript bei Erstellung einer verdächtigen Datei dies auf der Konsole aus.
01.
# Ordner der zu überwachen ist (inkl. Unterordner)
02.
$folder = 'C:\Ordner'
03.
$filter = '*.*'
04.
$trigger = '\.(aaa|abc|ccc|ecc|exx|vvv|yxz|zzz|xxx|ttt|micro|encrypted|locky)$|decipher|install_tor|restore_file|want your files back\..*|confirmation\.key|enc_files\.txt|last_chance\.txt|recovery_file\.txt|recovery_key\.txt|help_your_files.*\..*|help_restore.*\..*|HELP_TO_DECRYPT.*\..*|HELP_TO_SAVE.*\..*|HELP_DECRYPT.*\..*|HOW_DECRYPT.*\..*|how_to_recover.*\..*|DecryptAllFiles.*\.txt|DECRYPT_INSTRUCTION.*\..*|recover_instructions.*|\..*yC$'
05.
06.
if(Get-EventSubscriber CryptoCreated -EA SilentlyContinue){Unregister-Event CryptoCreated; Unregister-Event CryptoRenamed}
07.
$fsw = New-Object IO.FileSystemWatcher $folder, $filter -Property @{IncludeSubdirectories = $true;NotifyFilter = [IO.NotifyFilters]'LastWrite,Filename'}
08.
09.
$action = {
10.
$name = $Event.SourceEventArgs.Name
11.
$fullpath = $Event.SourceEventArgs.FullPath
12.
$timeStamp = $Event.TimeGenerated
13.
write-host ($event.SourceEventArgs | fl * | out-string)
14.
if ($name -match $event.MessageData){
15.
# Treffer benachrichtige User ...
16.
$body = "Verdächtige Datei mit den Pfad '$fullpath' wurde um '$($timeStamp.toString('G'))' $(if ($event.SourceEventArgs.Changetype -eq 'Renamed'){'umbenannt'}else{'erstellt'})."
17.
write-host $body -F Yellow
18.
# Send-MailMessage -From "user@domain.de" -to "empfaenger@domain.de" -Subject "Verdächtige Datei entdeckt" -body $body -SmtpServer smtp.domain.de -Credential (New-Object PSCredential("USERNAME",(ConvertTo-SecureString 'PASSWORD' -AsPlainText -Force))) -UseSSL
19.
}
20.
}
21.
22.
Register-ObjectEvent $fsw Created -SourceIdentifier CryptoCreated -Action $action -MessageData $trigger | Out-Null
23.
Register-ObjectEvent $fsw Renamed -SourceIdentifier CryptoRenamed -Action $action -MessageData $trigger | Out-Null
24.
25.
write-host "Überwache Verzeichnis '$folder' auf neue verdächige Dateien ..." -ForegroundColor Green
26.
while($true){sleep(1)}LÖSUNG 22.02.2016 um 20:44 Uhr
Hallo Uwe, danke fürs posten!
Über den Begriff "filesystemwatcher" bin ich gestern in einem Powershell-Buch gestolpert, habs aber nicht weiter verfolgt.
Klingt interessant.
Aber ich stelle mir das ganze ziemlich Ressourcenhungrig vor, wenn das Ding ne Ordnerstruktrur von ettlichen 100.000 Dateien überwachen soll?
Hast du das Skript bei Dir/Euch am Start?
Gruß
Michael
Über den Begriff "filesystemwatcher" bin ich gestern in einem Powershell-Buch gestolpert, habs aber nicht weiter verfolgt.
Klingt interessant.
Aber ich stelle mir das ganze ziemlich Ressourcenhungrig vor, wenn das Ding ne Ordnerstruktrur von ettlichen 100.000 Dateien überwachen soll?
Hast du das Skript bei Dir/Euch am Start?
Gruß
Michael
LÖSUNG 23.02.2016, aktualisiert um 00:20 Uhr
Zitat von Kangaroojack:
Klingt interessant.
Aber ich stelle mir das ganze ziemlich Ressourcenhungrig vor, wenn das Ding ne Ordnerstruktrur von ettlichen 100.000 Dateien überwachen soll?
Nein ist es nicht, das ist ja der Vorteil Windows klinkt sich in den Dateisystemtreiber ein und überwacht nur bestimmte Teile beim Platten-Zugriff die nötig sind, das kann man mit den Notify-Filtern optimieren.Klingt interessant.
Aber ich stelle mir das ganze ziemlich Ressourcenhungrig vor, wenn das Ding ne Ordnerstruktrur von ettlichen 100.000 Dateien überwachen soll?
Hast du das Skript bei Dir/Euch am Start?
Das Skript hier nicht aber diverse andere Skripte nach dem selben Schema, wovon es hier von mir noch einige weitere gibt.LÖSUNG 23.02.2016, aktualisiert um 12:02 Uhr
Btw. gibt es für FileServer heutzutage von Windows Out-of-the-Box schon eine Überwachungsfunktion von Freigaben:
https://www.frankysweb.de/windows-fileserver-vor-ransomware-crypto-locke ...
https://www.frankysweb.de/windows-fileserver-vor-ransomware-schuetzen-up ...
https://www.frankysweb.de/windows-fileserver-vor-ransomware-crypto-locke ...
https://www.frankysweb.de/windows-fileserver-vor-ransomware-schuetzen-up ...
LÖSUNG 23.02.2016 um 21:45 Uhr
Man hat einfach viel zu wenig Zeit sich mit all dem in Ruhe zu befassen ;)
Klasse, vielen Dank für die Info. Werde ich mir auf jeden Fall anschauen!
Klasse, vielen Dank für die Info. Werde ich mir auf jeden Fall anschauen!
Ähnliche Inhalte
Neue Wissensbeiträge
Heiß diskutierte Inhalte
