Datei löschen verhindern oder vorher kopieren

Question

Hallo zusammen,

habe ein etwas anders geartetes Problem. Ich möchte eine Datei, die von einem Hintergrundprozess geschrieben und sofort wieder gelöscht wird, sichern, um darin Einsicht zu nehmen.

System: Win7, 64Bit

Muss keine endgültige Lösung sein, Vorschläge oder Brainstorming-Anstoß reicht aus.

Hintergrund: Ich untersuche einen Laptop, auf dem ein Keylogger installiert wurde. Den Keylogger habe ich schon ausfindig gemacht, sehe auch, wie er Dateien anlegt, die er dann zu seinem Server senden möchte. Nun teste ich natürlich offline, und so löscht der Prozess die Datei, wenn er keine Verbindung erhält. Nur kann ich so schnell die nicht kopieren.

Könnte man eine Batch-Datei anlegen, die immer wieder Dateien der Extension kopiert ? Wie sähe so etwas aus?

Oder könnte man das Schreiben umleiten in eine Log-Datei (unter Linux kann man ja mittels >> immer anfügen ...

Ach - einfach mal ne Idee mitteilen oder eine nVorschlag machen.

Danke schon mal,
Frankie

Answer 1

Hast du ne "Professional"-Version von Windows?
Ich hab das auch mal gemacht mit einer Flash Datei im Firefox-Cache, die immer sofort gelöscht wurde. Einfach die Rechte für das Löschen von Dateien in diesem Ordner entziehen!

Answer 2

Danach hatte ich auch schon geschaut, aber ich kann einzelnen Usernd nur das Schreiben oder Lesen verweigern.

Ist die übliche Home-Version drauf.

Danke trotzdem.

Answer 3

Man könnte es mit einem VBS probieren.
Ist nur ein bißchen blöd aus der Entfernung, weil wenn die Datei(en) exklusiv gelockt sind hagelt es Fehlermeldungen.

Gehn die Dateien wirklich so schnell weg, dass du nicht mal kurz mit gedrückter Strg-Taste mit der linken Maustaste anfassen und nen Millimeter verschieben kannst, um ne Kopie zu machen?
Weisst du was ich meine, mit diesem "Move"?

Answer 4

Nein, normalerweise sehe ich nur im Process-Monitor, dass die geschrieben werden, aber wenn ich zum Explorer-Fenster wechsele, sind sie meistens schon wieder weg.
Einmal habe ich sie noch gesehen aber als ich einen Doppelklick draufmachte, kam schon die nächste Datei der Liste, weil diese hochgerutscht war.

Ich könnte auch ein kleines Programm schreiben, das über FindFile alle Dateien dieses Typs in ein anderes Vz kopiert. Wenn keine da sind, passiert nichts, es kann nur sein, dass sie halt überschrieben werden.

Aber ob ich dann alles mitbekomme, weil die Datei noch zum Schreiben geöffnet ist und kein flush erfolgt ist, weiß ich dann auch nicht.

Ich probier mal den File-Monitor von Mark Russinovich aus. VIelleicht kriegt der das hin. Hast Du oder jemand anders damit schon Erfahrung?

Answer 5

So, gelöst. Filemonitor macht genau das, was ich gesucht habe. Danke für die Denkanregung, Kerstin.

Jetzt weiß ich auch, was dieses Programm macht, ein Keylogger, protokolliert jeden Tastendruck mit. Ich weiß nur noch nicht, welcher die Keylogger es ist. Ausgabe sieht aus wie von diesem All in One Keylogger.

[i]