Издательский дом ООО "Гейм Лэнд"СПЕЦВЫПУСК ЖУРНАЛА ХАКЕР #48, НОЯБРЬ 2004 г.

Бортовой журнал

Анализирующий

Спецвыпуск: Хакер, номер #048, стр. 048-088-1


(analyst1945@mail.ru, www.wshinform.boom.ru)

Препарируем логи Windows

«Чисти логи три раза в день!», «Уходя, он почистил за собой логи», «Заглянув в логи, администратор обнаружил…» - едва ли не самые часто встречающиеся фразы в историях андеграунда. Чистка логов – гарантия безопасности взломщика и залог его спокойного сна.

Читая очередную хакерскую байку, а, может, и не байку, а преукрашенную историю, я обратил внимание на стандартную концовку. Хеппи-энд выделялся в этом отчете полным отсутствием каких-либо подробностей, хотя все остальное было описано четко и внятно, с примерами команд, а в некоторых местах - и со скриншотами. Можно было подумать, что чистка логов - настолько простое занятие, что доступно любому пользователю, прошедшему недельные курсы и научившемуся после них отличать клавишу CTRL от SHIFT. Так что же представляет собой на самом деле чистка логов?

Для чистки используются всевозможные логвайперы и руткиты, и используются они преимущественно в Linux-системах. Но этот номер посвящен Win-системам, которые, кстати, могут вести логи не хуже пингвинообразных осей. Вся работа будет проводиться средствами, встроенными в саму систему, так что практически никакого стороннего софта нам не понадобится.

WSH – встроенная система автоматизации

По функциональным возможностям WSH (Windows Script Host) может успешно потягаться с консольными скриптами Linux, значительно превосходя их по простоте создания. В качестве инструмента разработки подойдет любой текстовый редактор. Сценарии готовы к работе сразу же после написания, если WSH не отключены на данном компьютере и поддерживаются операционной системой. Поддержка скриптов присутствует в Windows начиная с 98-й версии (для более ранних версий ОС сервер сценариев устанавливается отдельно), которой логи не снились в самом кошмарном сне. Возможности и синтаксис VBScript рассмотрены достаточно подробно в прошлых номерах журнала, поэтому упомянем лишь о том, что код сценария помещается в текстовый файл с расширением WSF после XML-конструкции в начале:

<?xml version="1.0" encoding="windows-1251"?>

<job id="T1">

<script language="VBScript">

<![CDATA[

и

]]>

</script>

</job>

в конце.

Наш выбор

Если слишком буквально понимать призыв «чисти логи!», то на программирование уйдет не более пары минут.

Сценарий, который можно видеть на врезке, достаточно поместить в папку «Автозагрузка». Результатом будет кристальная чистота журнала (или журналов - кому как нравится) событий и скрупулезный поиск багов, троянов и прочих mallware админом на почве обостренной подозрительности. Впрочем, если нет желания возвращаться на "попользованную" систему и нет желания вдаваться в подробности, то акт приравнивания к нулю объема файла журнала можно считать прощальным хлопком дверью, что будет ощутимым ударом по изнеженным нервам системщика.

Тому, кто планирует периодически навещать понравившуюся систему, разумнее было бы ограничить количество информации, хранимой в логах, по объему или числу прошедших дней. Это можно сделать с помощью командной строки, получив доступ к свойствам журнала событий с помощью псевдонима NTEVENTLOG. Для начала откроем окно командной консоли: Пуск –> Выполнить -> “cmd”. Затем запустим программу, позволяющую работать с WMI через командную строку, используя псевдонимы: «wmic». Для изменения нужных параметров наберем команды:

Содержание  Вперед на стр. 048-088-2