Бортовой журнал

Анализирующий

Спецвыпуск: Хакер, номер #048, стр. 048-088-2

NTEVENTLOG WHERE LogFileName=”Application” SET MaxFileSize=65536

для адание максимального размера файла журнала «Приложение» в 64 килобайт.

NTEVENTLOG WHERE LogFileName=” System” SET OverwriteOutDated=1

для адание максимального срока хранения записей журнала «Система» в 1 день.

Кроме изменения настроек, псевдоним NTEVENTLOG позволяет просмотреть все свойства выбранного журнала событий:

NTEVENTLOG WHERE LogFileName=”Application” GET /VALUE

Если требуется «интеллектуальное» изменение настроек без участия человека, то нетрудно и написать оболочку-сценарий для этой команды. Один из вариантов такой оболочки показан во врезке.

Уникальный почерк или опасная улика?

По привычке руки набивают знакомые VBScript-операторы, в результате чего возникает сценарий, вносящий в журналы системы нужные записи.

Закончив любование проделанной работой, я захотел проверить ее результаты. Каково же было разочарование, когда в столбце журнала «Источник» («Source Type») обнаружилось разоблачающее взломщика значение «WSH». Панику смягчало лишь отсутствие указания на юзера, внесшего запись «Пользователь» – «Н/А» («User Name» - «N/A»). Нужно было искать другой путь. И он был найден.

Операционная система для хакера

Из глубин подсознания нахлынули давние воспоминания. Робко просматриваю справочную систему Windows и нахожу в справочнике по командной строке неприметную, но не менее от этого важную команду eventcreate, с помощью которой можно вносить записи в журналы событий непосредственно из командной строки.

Основное преимущество вышеуказанной команды перед сценариями WSH – возможность напрямую указать имя источника и пользователя. Правда, пользователь должен существовать, и пароль его должен быть известен. Кроме того, системные источники вроде «Userenv» или «MsiInstaller» заблокированы, а вносить запись от имени пользователя «System» не представляется возможным. Выдается сообщение «Ошибка: исходный параметр используется только для определения приложения или сценария (невстроенные источники)». Но, к счастью, для этой проблемы есть решение, которое лежит на поверхности. Суть в том, что некоторые символы латинского и кириллического алфавита имеют практически одинаковый вид (по крайней мере, в шрифтах Windows), но разные коды. «А» латинское и «А» кириллическое – не одно и то же, хотя и выглядят одинаково. Если создание учетной записи «System» невозможно, то пользователь «System» (с кириллической «е») добавляется на «Ура». После создания учетной записи от ее имени можно вносить события в системный журнал, а затем удалять в целях конспирации. Аналогичная подмена действует и на указание «Источника».

Остается еще одна проблема – дата и время внесения записи. На самом деле, при наличии прав Администратора это далеко не проблема, а, скажем так, небольшое препятствие. Все решается обычным переводом календаря и часов, что вполне осуществимо средствами командной строки и сценариев.