Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Suche nach Dateien mit doppelter Dateiendung

Mitglied: Kangaroojack

Kangaroojack (Level 1) - Jetzt verbinden

18.02.2016 um 18:51 Uhr, 1819 Aufrufe, 18 Kommentare, 2 Danke

Hallo Leute,

evtl. eine triviale Aufgabe, aber ich bekomme es nicht hin.
Ziel ist es von diesen blöden Verschlüsselungsviren betroffene Files zu finden. Bisher werden da ja (zum Glück noch) Dateiendungen angehangen, so dass man das noch analysieren kann.
Die Files heissen dann meist *.txt.mp3 oder *.doc.vvv etc.

Habe ein Powershellskript, welches mit das Dateisystem durchsucht und in eine Variable ausgibt.
Ich mache das bewusst mit dir /s /b weil Get-ChildItem einfach viel zu langsam ist.

Nun ist mir die Suche allerdings zu ungenau - da die Files bei einem Befall von Morgen evtl. die Endung *.zdf haben können.

Jetzt möchte ich die Suche dahingehend ändern, dass nach
*.???.???
gesucht wird.

Also quasi nach zwei "Punkten" mit genau 3 zeichen, die variabel sein können, dazwischen.
Hab schon bisschen rumgespielt, aber bekomme es nicht hin.
bzw.
oder
bringt leider auch die Files, die eine normale Dateiendung haben z.B. *.txt und halt nicht wie gewünscht nur Dateien mit *.txt.*

Habt ihr eine Idee für die Umsetzung?

Gruß
KangarooJack



Mitglied: 126919
18.02.2016, aktualisiert um 20:19 Uhr
fk
Bitte warten ..
Mitglied: Kangaroojack
18.02.2016, aktualisiert um 20:34 Uhr
gci ist viel zu langsam und scheidet daher aus. Dachte das hätte ich bereits oben erwähnt.
Bitte warten ..
Mitglied: 126919
18.02.2016, aktualisiert um 20:51 Uhr
Bitte warten ..
Mitglied: Kangaroojack
18.02.2016, aktualisiert um 23:31 Uhr
Danke für dein Post!
Das funktioniert. Leider bringt mir das jetzt viel zu viele Ergebnisse zurück.

Wenn man das jetzt noch filtern könnte, also dass nur Dateien gelistet werden, die heute geschrieben/geändert wurden - dann wärs denke ich okay.

also in etwa so:


Leider steht damit im Ergebnis kein Pfad drin und man müsste Datum/Uhrzeit wegtrimmen....

Und mit dir /s /b... lässt sich nicht nach dem Datum filtern...hmmmm
Bitte warten ..
Mitglied: TlBERlUS
19.02.2016, aktualisiert um 09:08 Uhr
Zitat von Kangaroojack:

gci ist viel zu langsam und scheidet daher aus. Dachte das hätte ich bereits oben erwähnt.
Dir ist aber bewußt, dass 'dir' in Powershell ein Alias für 'gci' ist, und dazu in der Ausführung langsamer ist?
Zeit für ein Verzeichnis mit 598 Ordnern und 24.026 Dateien (mit recurse)
Bitte warten ..
Mitglied: joachim57
19.02.2016 um 11:20 Uhr
Ich experimentiere auch gerade mit sowas rum. Im Moment sieht mein Code so aus:



Ausführungszeit bei 14.647 Dateien, 2.072 Ordner, 13,9 GB ca. 4 Sekunden
Die Idee dafür stammt von HIER

Bin leider nicht so fit mit Powershell. Ist also bestimmt noch verbesserungsfähig...
Bitte warten ..
Mitglied: 126919
19.02.2016, aktualisiert um 11:39 Uhr
Zitat von Kangaroojack:

Danke für dein Post!
Das funktioniert. Leider bringt mir das jetzt viel zu viele Ergebnisse zurück.

Wenn man das jetzt noch filtern könnte, also dass nur Dateien gelistet werden, die heute geschrieben/geändert wurden - dann wärs denke ich okay.
Kein Problem, wenn man's vorher weiß ...
@joachim57
lässt sich für Dateien die sich heute geändert haben so abkürzen:
Bitte warten ..
Mitglied: Kangaroojack
19.02.2016 um 12:58 Uhr
Zitat von TlBERlUS:

Zitat von Kangaroojack:

gci ist viel zu langsam und scheidet daher aus. Dachte das hätte ich bereits oben erwähnt.
Dir ist aber bewußt, dass 'dir' in Powershell ein Alias für 'gci' ist, und dazu in der Ausführung langsamer ist?
Zeit für ein Verzeichnis mit 598 Ordnern und 24.026 Dateien (mit recurse)

deshalb ja auch
cmd / c dir....
DIR ist bei sehr vielen Dateien um WELTEN schneller als GCI! Habs selber probiert. Wenn ich über GCI suche, braucht mein Skript >30 Minuten.
mit DIR ist es oft in ca. 10 Minuten durch!

Hier ein Post dazu:
http://www.codeproject.com/Articles/767649/Get-ChildItem-vs-Dir-in-Powe ...">http://www.codeproject.com/Articles/767649/Get-ChildItem-vs-Dir-in-Powe ...
Bitte warten ..
Mitglied: TlBERlUS
19.02.2016 um 13:45 Uhr
Zitat von Kangaroojack:
DIR ist bei sehr vielen Dateien um WELTEN schneller als GCI! Habs selber probiert. Wenn ich über GCI suche, braucht mein Skript >30 Minuten.
mit DIR ist es oft in ca. 10 Minuten durch!
Wie viele Dateien durchsuchst du denn da?
Danke, werde ich mir bei Gelegenheit zu Gemüte führen!
Bitte warten ..
Mitglied: Kangaroojack
19.02.2016 um 14:26 Uhr
Zitat von TlBERlUS:

Zitat von Kangaroojack:
DIR ist bei sehr vielen Dateien um WELTEN schneller als GCI! Habs selber probiert. Wenn ich über GCI suche, braucht mein Skript >30 Minuten.
mit DIR ist es oft in ca. 10 Minuten durch!
Wie viele Dateien durchsuchst du denn da?
Danke, werde ich mir bei Gelegenheit zu Gemüte führen!


Es werden schon ettliche 100.000de Dateien (evtl. sogar Millionen) sein. habs noch nicht genau gezählt.
Ein Order der letztens befallen war hatte allein schon 123.000 Dateien.
Bitte warten ..
Mitglied: 126919
19.02.2016 um 14:44 Uhr
s. oben ...
Bitte warten ..
Mitglied: Kangaroojack
22.02.2016, aktualisiert um 17:53 Uhr
Vielen Dank an alle, besonders FLACHKOEPPER!

Also,
ich habe das jetzt so umgesetzt:

1. eine Batch - die dann, wenn nötig ein Powershellskript startet um die Fileliste auszuwerten
(habs nicht hinbekommen die for-Schleife mit einem cmd /c aus der powershell zu starten - kein Plan was das Ding hat, meckert jedenfalls immer rum)



2. Das Powershellskript, was die Auswertung macht und falls nötig eine Mail verschickt. In der Mitte ein Codeblock in dem man ggf. Ausnahmen definieren kann.



Wird also eine Datei mit doppelter Dateiendung sowie heutigem Datum gefunden, schreibt das Teil sie ins Log und schickt sie am Ende als Mail raus.
Das ganze habe ich als Task, jede Stunde, auf den Fileservern rennen.

Leider ist es halt so, dass er natürlich den ganzen Tag jede Stunde ne Mail raushaut, wenn eine entsprechende Datei angelegt wird.
Daher werde ich noch versuchen, die Dateien anhand der Uhrzeit (Stunde) zu filtern, da es bei uns doch recht viele Dateien mit doppelter Dateiendung im System gibt, sodass nur noch einmalig eine Mail rausgeht.
dann würde nur
Bitte warten ..
Mitglied: colinardo
22.02.2016, aktualisiert um 20:32 Uhr
Hallo @Kangaroojack

Oder man macht das intelligent mit einem Filesystemwatcher der automatisch sofort anspringt wenn eine verdächtige Datei entdeckt wird (Zeile 18 zum Verschicken der Mail ist auskommentiert da die Parameter erst angepasst werden müssen). Zur Demo gibt das Skript bei Erstellung einer verdächtigen Datei dies auf der Konsole aus.
Grüße Uwe
Bitte warten ..
Mitglied: Kangaroojack
22.02.2016 um 20:44 Uhr
Hallo Uwe, danke fürs posten!

Über den Begriff "filesystemwatcher" bin ich gestern in einem Powershell-Buch gestolpert, habs aber nicht weiter verfolgt.

Klingt interessant.
Aber ich stelle mir das ganze ziemlich Ressourcenhungrig vor, wenn das Ding ne Ordnerstruktrur von ettlichen 100.000 Dateien überwachen soll?
Hast du das Skript bei Dir/Euch am Start?

Gruß
Michael
Bitte warten ..
Mitglied: colinardo
23.02.2016, aktualisiert um 00:20 Uhr
Zitat von Kangaroojack:

Klingt interessant.
Aber ich stelle mir das ganze ziemlich Ressourcenhungrig vor, wenn das Ding ne Ordnerstruktrur von ettlichen 100.000 Dateien überwachen soll?
Nein ist es nicht, das ist ja der Vorteil Windows klinkt sich in den Dateisystemtreiber ein und überwacht nur bestimmte Teile beim Platten-Zugriff die nötig sind, das kann man mit den Notify-Filtern optimieren.
Hast du das Skript bei Dir/Euch am Start?
Das Skript hier nicht aber diverse andere Skripte nach dem selben Schema, wovon es hier von mir noch einige weitere gibt.
Bitte warten ..
Mitglied: colinardo
23.02.2016, aktualisiert um 12:02 Uhr
Btw. gibt es für FileServer heutzutage von Windows Out-of-the-Box schon eine Überwachungsfunktion von Freigaben:
https://www.frankysweb.de/windows-fileserver-vor-ransomware-crypto-locke ...
https://www.frankysweb.de/windows-fileserver-vor-ransomware-schuetzen-up ...
Bitte warten ..
Mitglied: Kangaroojack
23.02.2016 um 21:45 Uhr
Man hat einfach viel zu wenig Zeit sich mit all dem in Ruhe zu befassen ;)

Klasse, vielen Dank für die Info. Werde ich mir auf jeden Fall anschauen!
Bitte warten ..
Mitglied: colinardo
02.03.2016 um 16:40 Uhr
Wenns das dann war, den Beitrag bitte noch auf gelöst setzen. Merci.
Bitte warten ..
Ähnliche Inhalte
Windows 10
Windows Such-Index
gelöst Frage von UserUWWindows 104 Kommentare

Sorry für ein paar elementare Fragen zum Windows Such-Index: 1. Bei der Festlegung der Indizierungskriterien wird eine endlos lange ...

Microsoft Office
Excel Such- und Vergleichsfunktion
gelöst Frage von oesi1989Microsoft Office15 Kommentare

Hallo zusammen, ich habe 2 Tabellen mit Name, Vorname und Arbeitgeber. 1. Tabelle Name Vorname Geb-Datum Arbeitgeber Straße Ort ...

Windows 10

Standartprogramme nach Dateiendung bestimmen

gelöst Frage von tomaschkuWindows 103 Kommentare

Hallo erstmal, Ich habe das Problem, dass z.bzip Dateien beim Doppelklick standardmäßig mit dem Explorer geöffnet werden. Da dieser ...

Hardware

Doppelt geklickt trotz Singleclick

gelöst Frage von honeybeeHardware6 Kommentare

Hallo, ich habe auf einem Tablet-PC was komisches festgestellt: Wenn ich mit einer normalen kabelgebundenen Maus auf einen Button ...

Windows Server

GPOs werden doppelt angezeigt

Frage von gamerffWindows Server1 Kommentar

Hallo zusammen, wir haben bei uns das Problem das Gruppenrichtlinien doppelt angezeigt werden wen man gpresult -r ausführt. Angewendete ...

Exchange Server

Exchange 2019 Such-Indizierung funktioniert nicht

Frage von Dennis93Exchange Server5 Kommentare

Hallo zusammen, wir haben einen neuen Exchange 2019 in einer neuen Domäne installiert. Alles neu und sauber eingerichtet. Alte ...

Heiß diskutierte Inhalte
Sicherheitsgrundlagen
Regelmäßige Änderungen der Passwörter erhöhen wirklich die Sicherheit?
Frage von AbstrackterSystemimperatorSicherheitsgrundlagen23 Kommentare

Guten Abend zusammen, genau die Frage stelle ich mir. Erhöht es tatsächlich den Sicherheitsfaktor, wenn die Passwörter regelmäßig geändert ...

Exchange Server
Exchange News and Announcements - Microsoft Ignite 2020
Ticker von DaniExchange Server10 Kommentare

Today we are announcing that the next versions of Exchange Server, SharePoint Server, Skype for Business Server and Project ...

LAN, WAN, Wireless
EC Geräte kommen nicht durch Firewall
gelöst Frage von newit1LAN, WAN, Wireless10 Kommentare

Hallo, habe eine Sophos Firewall im Einsatz. Dort wurde eine Regel erstellt, dass die EC Geräte auf bestimmten Ports ...

Windows Server
Server 2019 Remote Desktop Session Host zeigt Windows Server 2016 an
Frage von StickhausenerWindows Server7 Kommentare

Hallo Zusammen, ich habe das Problem das bei einem frisch installierten Server 2019 Terminalserver Probleme bei der Lizensierung auftauchen. ...

Windows Server
Bücher zu Thema Windows Server
Frage von simpsonettiWindows Server7 Kommentare

Moin, wie der Betreff schon sagt suche ich Bücher zum Thema Windows Server 2016/19 wo es speziell um das ...

Windows Server
Netzlaufwerk für RemoteApps
Frage von TheUnrealWindows Server6 Kommentare

Hallo zusammen, da ich ja aktuell noch mit dem Server spiele und ausprobiere, was ich am besten mache, kam ...

Administrator Magazin
10 | 2020 Nicht erst durch die Corona-Krise sahen sich viele Firmen damit konfrontiert, dass sich Mitarbeiter von unterschiedlichen Geräten und verschiedensten Lokationen aus anmelden. Daher sind hier neue Konzepte für das Berechtigungs- und Identitätsmanagement gefragt, die einerseits die Sicherheit erhöhen und andererseits Nutzern die nötige Flexibilität ...
Best VPN