iT邦幫忙

1

找資料被執行的紀錄,及執行該程式的IP

我司約於去年年底換了一套系統,換系統後一直都有漏資料的問題,因直到前陣子為止系統都不是很穩定,故都以為是系統問題沒特別在意,直到最近系統較穩定之後,該問題仍不斷出現,細查之後,發現資料都跑到前一套系統接資料的路徑資料夾去了
懷疑有人偷開之前的程式,資料被搶走導致現在的系統抓不到資料
起問各位大大有沒有辦法查到該幾筆資料被哪些程式啟動(執行)過,啟動該程式的電腦IP之類的?

小財神 站方管理人員 ‧ 2017-11-30 11:50:25 檢舉
這發問標題容易使人誤會...
0
海綿寶寶
iT邦大神 1 級 ‧ 2017-11-30 12:06:40

沒辦法

564219 iT邦新手 5 級 ‧ 2017-11-30 14:28:20 檢舉

...我想也是|||

0
做工仔人!
iT邦大師 1 級 ‧ 2017-11-30 12:12:38

1.改程式:用記錄LOG的方式.
2.看可不可以用trigger 方式產生log
更多trigger的使用方式可以問一下google大神.

564219 iT邦新手 5 級 ‧ 2017-11-30 14:33:38 檢舉

有困難,現在不知道是誰有啟動那隻程式
只對路徑資料夾做紀錄的話,應該只能記錄有丟東西進去的時間吧?
除非有辦法回推是從哪丟進去的......

564219 iT邦新手 5 級 ‧ 2017-11-30 14:35:55 檢舉

這部分我是有持續在找看有沒有解啦!
想說丟上來請益能不能加快處理進度或得到一些方向(因為這個問題滿嚴重的@@

0
mathewkl
iT邦新手 2 級 ‧ 2017-11-30 15:12:48

把之前的系統給做掉(不曉得舊系統留一年要做什麼) P2V之類的留存後系統下線
或者把舊系統的使用者權限全部鎖起來只留管理員

有使用者哀為什麼不能作業的時候就知道是誰在用舊系統了

看更多先前的回應...收起先前的回應...
564219 iT邦新手 5 級 ‧ 2017-12-01 13:42:22 檢舉

有困難,嚴格來說那只是server端一個處理資料拋接的程式,前端沒有明顯的影響,但後端作統計的後會發現有少很多資料,怕是有其他單位的IT偷偷COPY一份走QQ

當新的系統是有一堆BUG,廠商又整天嘴砲不願意改的話,就是舊系統上場的時候了@@

mathewkl iT邦新手 2 級 ‧ 2017-12-01 17:01:36 檢舉

所以新舊系統的Database相同,但是舊系統處理過資料後系統會把資料刪除的意思?
只要一天不停舊系統就會一直發生吧...

564219 iT邦新手 5 級 ‧ 2017-12-01 17:10:15 檢舉

DB不同,但抓資料路徑是共通的
舉例來說
A:資料來源 B:資料來源資料夾 C:舊DB D:新DB E:舊DB放資料的FILE F:新DB放資料的FILE
目前正常程序是:
A把資料丟到B,新系統會把資料從B抓到F(中間轉換成D可以吃的格式),D再從F把資料抓走
現在問題:
D有漏資料,回去F查也沒看到資料,細查之後發現資料被抓到E去了,故推測有舊程式被啟動,導致資料被搶走

wwx iT邦好手 1 級 ‧ 2017-12-02 11:22:55 檢舉

從說明中:
新系統會把資料從B抓到F(中間轉換成D可以吃的格式),D再從F把資料抓走
那麼看起來像是:
舊系統會把資料從B抓到E(中間轉換成C可以吃的格式),C再從E把資料抓走

所以舊的程式應該是吃C格式,
因為新的D格式吃不了而留存於E

因此是
有一支新程式Z 會把資料由B撈到F
對等
有一支舊程式X 會把資料由B撈到E

而Z和X都是任何電腦都可以執行,
B,E,F都是資料夾
B+E叫舊系統 (搭配X)
B+F叫新系統 (搭配Z)

X和Z應該都不是和B,E,F放一同台電腦
所以才有現在的疑問,
怎麼看都像是從分享管理那邊可以查得出來...

如果X和E放一起,Z和F放一起,
於B上檔掉X和E的這台電腦權限就好了

0
wwx
iT邦好手 1 級 ‧ 2017-12-01 08:39:55

(法一)
把'之前的程式'移除就不會被跑到了...

(法二)
另作一支程式替代'之前的程式',此程式則會記錄被執行的參數,
那麼就會有執行檔的完整路徑名稱,如果是透過網路執行的,
不管是用分享的電腦名稱或是用IP就都會記錄下來了,
之後這支程式是否要幫跑'之前的程式'完成執行功能則看需求

比如有人執行程式
\192.168.1.11\PUBLIC\console.exe -para data

那麼console這支程式可以記錄到
argc = 3
argv[0]: \192.168.1.11\PUBLIC\console.exe
argv[1]: -para
argv[2]: data

wwx iT邦好手 1 級 ‧ 2017-12-01 08:41:48 檢舉

PS:發文的全域路徑第一個雙斜線會被吃掉,請自己補上

564219 iT邦新手 5 級 ‧ 2017-12-01 13:44:12 檢舉

現在是怕有人自己COPY一份在自己電腦,沒有人會知道誰COPY走,在哪開起來QQ

wwx iT邦好手 1 級 ‧ 2017-12-02 11:00:28 檢舉

從舊系統主機上的管理[共用資料夾]中,
由工作階段能看
有哪些電腦的使用什麼帳號登進來,
另外也能查看到開啟什麼檔案
或開著哪個資料夾阿

如果舊系統應該是不使用的,
停止共用,就無法複製資料進去了不是嗎?

也可以把舊系統電腦上
於可使用該分享資源的所有帳號中
將懷疑的帳號先停止共用,
過濾是哪個帳號造成,
再針對會用該帳號登進舊系統電腦
的使用者或電腦來瞭解情形

看問題所述,資料會放到舊系統電腦資料夾中,
而程式copy走在別台執行,要把資料存在
舊系統電腦的資料夾內,難道不是透過分享嗎?
如果是分享,舊系統電腦就看的到阿~
(管理-->系統工具-->共用資料夾-->工作階段 與 開啟檔案)

0
nansen
iT邦新手 3 級 ‧ 2017-12-01 08:56:53

用Process Monitor可以抓到所有程式的API操作,用Filter過濾指定匯入的資料夾應該就可以了

https://docs.microsoft.com/en-us/sysinternals/downloads/procmon

564219 iT邦新手 5 級 ‧ 2017-12-01 13:44:49 檢舉

感謝,我研究看看~

wwx iT邦好手 1 級 ‧ 2017-12-02 11:26:04 檢舉

PS1: Vista或Server 2008後才能用
PS2: 是監看遠端電腦執行的程序嗎? 還是一台一台去監看?

0
牛哥
iT邦好手 1 級 ‧ 2017-12-05 01:04:00

WINDOWS有內建了!
https://ithelp.ithome.com.tw/upload/images/20171205/20022541lBHnryRHWh.png

我要發表回答

立即登入回答