Бортовой журнал

Анализирующий

Спецвыпуск: Хакер, номер #048, стр. 048-088-3

Как резюме ко всему здесь написанному. Схематично процедура удаления записи об определенных событиях выглядит так:

- Сохранение некоторых записей журнала событий в отдельный источник

- Создание учетных записей со специфическими именами

- Очистка журнала событий

- Считывание записей из архива

- Изменение дат и времени и внесение считанных записей

- Удаление временных учетных записей

- Удаление архива записей

- Установка текущей даты и времени

Отслеживаем события в реальном времени

Несмотря на кажущуюся простоту описанного способа иногда манипуляции с логами не имеют большого смысла, а, скорее, напоминают борьбу с симптомами заболевания, вместо выяснения и удаления причины болезни. Многие записи в журналы событий вносятся благодаря настройкам параметров локальной политики. Изменение локальной политики есть не что иное, как редактирование реестра в комфортной обстановке, то есть через консоль ММС. В этом легко убедиться, если одновременно с правкой политик безопасности воспользоваться средством мониторинга реестра, например RegFix. Измененные параметры можно сохранить и в будущем править с помощью командных файлов и сценариев WSH.

Большую опасность представляют приложения и сервисы, имеющие свою собственную систему документирования событий, иногда дублирующую записи в стандартные логи Windows. Также помимо пассивной регистрации произошедших изменений могут производиться конкретные действия, например, отправка SMS или ICQ системному администратору. Однако и злой взломщик может не остаться в долгу, запустив сценарий, отслеживающий появление в логах записей определенного типа.

Альтернативой этому WSH-сценарию служит CMD-команда eventtriggers, которая создает в операционной системе так называемые триггеры, отслеживающие выполнение определенных условий в журнале событий и действующие в соответствии с ними.

Пример создания триггера, взятый из справочного файла:

eventtriggers /create /s srvmain /u maindom\hiropln /p p@ssW23 /tr "Отсутствие места на диске" /eid 4133 /t warning /tk \\server\share\diskcleanup.cmd

За кадром

В статье, по причине ее ограниченного объема, не указан способ копирования записей из системных журналов в текстовый файл. Один из вариантов сценария, реализующего эти возможности, можно найти на прилагающемся к журналу диске, хотя лучшим примером, на мой взгляд, будет входящий в Windows XP Professional сценарий eventquery.vbs, на который, кстати, распространяется защита системных файлов.

Очищаем журналы событий

ТИП: Листинг

'Выбирается журнал событий

LogType = “Application” ‘Приложение

‘LogType = “System” ’Безопасность

‘LogType = “Security” ’Система

‘Подключается к пространству WMI – одной строкой!

Set Eventlog = GetObject(“winmgmts:{impersonationLevel=impersonate}”).ExecQuery(“select *from Win32_NTEventLogFile where Logfilename=’” & LogType & “’”)