Редактирование журналов регистрации
Профессиональные взломщики обязательно выполнят эту задачу, чтобы скрыть следы своей деятельности. Сделать это можно, отключив систему аудита, изменив время последнего обращения и модификации файлов, а также откорректировав файлы журналов.
Отключение системы аудита
При выполнении своих злонамеренных действий умные взломщики обязательно проверят, установлена ли система аудита, а затем отключат регистрацию определенных событий. Вот несколько шагов, которые предпримет взломщик, чтобы отключить систему аудита для службы каталогов и серверов.
1. Запустите утилиту auditcon из каталога SYS: \PUBLIC.
2. Выберите команду Audit Directory Services.
3. Выберите требуемый контейнер и нажмите клавишу <F10>.
4. Выберите команду Auditing Configuration.
5. Выберите команду Disable Container Auditing.
6. Теперь можно приступать к добавлению контейнеров и пользователей в выбранный контейнер.
Изменение атрибутов файлов
Если взломщик изменил файл autoexec.ncf или netinfo.cfg, то ему вряд ли
захочется, чтобы об этом кому-либо стало известно. Для изменения даты последнего обращения к этим файлам прекрасно подходит утилита SYS:PUBLIC\filer. Как и команда touch систем UNIX и NT, filer — это утилита DOS, предназначенная для поиска файлов и изменения их атрибутов. Модифицировать атрибуты файла очень просто. Для этого нужно сделать следующее.
1. Запустите утилиту filer из каталога SYS: PUBLIC.
2. Выберите команду Manage files and directories.
3. Найдите каталог, в котором расположен требуемый файл.
4. Выделите его.
5. Выберите команду View/Set file information.
6. Измените значения полей Last accessed date и Last modified date, как показано на следующем рисунке.
