Изменение файлов регистрации событий в Windows

Для сокрытия своей деятельности атакующему нужно изменить SECEVENT. EVT. Тем не менее, чтобы быть уверенным, что все следы преступной деятельности исчезли, атакующий, возможно, захочет модифицировать также файлы SYSEVENT. EVT и APPEVENT. EVT. Все три EVT-файла блокированы на машине, где запущена Windows NT/2000, и не могут быть открыты или отредактированы стандартным инструментом редактирования файлов.

Полное удаление любого EVT-файла не является проблемой для пользователя с надлежащими правами («Manage Audit and Security Log») или разрешениями (такими, как «Delete» для каталога \winnt\system32\config, который содержит эти файлы регистрации). Поскольку внезапно опустевший файл регистрации вызовет подозрения, искушенные атакующие не удаляют файлы регистрации полностью, изменяя их построчно.

При физическом доступе к системе Windows NT атакующий может загрузить систему с гибкого диска и отредактировать файлы регистрации в главном системном разделе, используя редактор с возможностью восстановления двоичного формата файлов. Этот инструмент позволяет атакующему менять пароль администратора, загружаясь с дискеты. В компьютерном андеграунде обсуждался аналогичный прием, который заключался в модификации файлов регистрации событий, когда изменения производились построчно и восстанавливался соответствующий двоичный формат для файлов регистрации EVT; однако широко распространенного инструмента для проведения подобной операции не существует. Несмотря на отсутствие изящества и необходимость продолжительного физического доступа, указанный прием мог бы быть замечательно полезным при сокрытии следов.

Однако наиболее эффективный прием не требует загрузки системы с дискеты и физического доступа к системе. Имеются более совершенные инструментальные средства редактирования файлов регистрации событий, которые позволяют атакующему с привилегиями администратора выборочно удалять события из файлов SYSEVENT. EVT, SECEVENT. EVT или APPEVENT. EVT на работающей системе с Windows NT/2000. Для выполнения этой задачи инструмент прежде всего останавливает сервис регистрации событий NT. Затем он изменяет разрешения для EVT-файлов и копирует данные в память для редактирования. Атакующий может изменить копию файла регистрации событий в памяти по своему желанию. Инструмент автоматически вычисляет новую двоично-отформатированную информацию заголовка, чтобы получающиеся файлы регистрации событий не воспринимались средством просмотра событий как испорченные. Для восстановления порядка после внесения изменений инструмент перезаписывает EVT-файлы, восстанавливает для них разрешения и перезапускает сервис регистрации событий NT. Когда администраторы обратятся к этим файлам регистрации, они увидят лишь правильный, приятный образ, созданный атакующим и очищенный от всех подозрительных событий.

Хотите стать успешным гемблером? Начните играть в бесплатные игровые автоматы гранд казино вулкан, а после переходите к игре на реальные ставки.

Инструмент WinZapper, разработанный Арне Видстромом (Arne Vidstrom), позволяет атакующему выборочно редактировать файлы регистрации событий, связанных с безопасностью, на машине с Windows NT/2000. Доступный на ntsecurity.nu/toolbox/winzapper, инструмент WinZapper обеспечивает GUI-интерфейс для редактирования событий в системе безопасности на последовательной основе. Атакующий выбирает определенные события для удаления и нажимает кнопку Delete events and Exit (Удалить события и выйти). Однако, чтобы изменения, сделанные при помощи WinZapper в файлах регистрации событий, вступили в силу, система должна быть перезагружена. Другие инструментальные средства, которые имеют хождение в компьютерном андеграунде дают атакующему способность изменять системные файлы регистрации без перезагрузки машины.