Редактирование журналов регистрации
Профессиональные взломщики обязательно выполнят эту задачу, чтобы скрыть следы своей деятельности. Сделать это можно, отключив систему аудита, изменив время последнего обращения и модификации файлов, а также откорректировав файлы журналов.
Отключение системы аудита
При выполнении своих злонамеренных действий умные взломщики обязательно проверят, установлена ли система аудита, а затем отключат регистрацию определенных событий. Вот несколько шагов, которые предпримет взломщик, чтобы отключить систему аудита для службы каталогов и серверов.
- Запустите утилиту auditcon из каталога SYS: \PUBLIC.
- Выберите команду Audit Directory Services.
- Выберите требуемый контейнер и нажмите клавишу F10.
- Выберите команду Auditing Configuration.
- Выберите команду Disable Container Auditing.
- Теперь можно приступать к добавлению контейнеров и пользователей в выбранный контейнер.
Изменение атрибутов файлов
Если взломщик изменил файл autoexec.ncf или netinfo.cfg, то ему вряд ли захочется, чтобы об этом кому-либо стало известно. Для изменения даты последнего обращения к этим файлам прекрасно подходит утилита SYS:PUBLIC\filer. Как и команда touch систем UNIX и NT, filer – это утилита DOS, предназначенная для поиска файлов и изменения их атрибутов. Модифицировать атрибуты файла очень просто. Для этого нужно сделать следующее.
- Запустите утилиту filer из каталога SYS: PUBLIC.
- Выберите команду Manage files and directories.
- Найдите каталог, в котором расположен требуемый файл.
- Выделите его.
- Выберите команду View/Set file information.
- Измените значения полей Last accessed date и Last modified date, как показано на следующем рисунке.
