- •Формальные модели шифров
- •Математическая модель шифра замены
- •Шифры, не распространяющие искажений типа «замена знаков»
- •Шифры, не распространяющие искажений типа «пропуск-вставка знаков»
- •Последовательность атаки
- •Переполнение буфера
- •Что такое переполнение буфера
- •Принцип действия
- •Виды переполнения буфера
- •Почему так много уязвимых программ
- •Способ защиты
- •Десять примеров переполнения буфера
- •Что такое netcat?
- •Способ применения
- •Эксплоиты для взлома nt
- •Брешь в безопасности rds службы iis
- •Совместно используемые ресурсы
- •Взлом с помощью относительного пути
- •Захват dsn с использованием утилит odbc Datasource
- •Поглощение ресурсов процессора с использованием mstask.Exe и Microsoft Internet Explorer
- •Запуск программ с помощью ie 5.X или Outlook
- •Запуск команд на Web-сервере с помощью iis 5.0
- •Возможность подмены контроллера домена в wins
- •Методы взлома unix
- •Что такое cgi-программа?
- •Принцип работы
- •Подробное описание
- •Способ применения
- •Симптомы атаки
- •Методы защиты
- •Подробное описание
- •Способ применения
- •Симптомы атаки
- •Методы защиты
- •Версия ос
- •XTest позволяет клиенту переправлять события другому клиенту. Такими событиями могут быть нажатия клавиш. При этом событие через сервер может пересьиаться другому клиенту в
- •Дополнительная информация
- •Люки и троянские кони
- •Подмена системных утилит
- •Подмена на уровне файлов
- •Защита от подмены на файловом уровне
- •Наборы утилит для nt
- •Эксплоит Brown Orifice
- •Программы слияния
- •Сокрытие следов
- •Как скрыть следы
- •Файлы журналов
- •Файлы журналов Linux
- •Взгляд со стороны взломщика
- •Invisible.С — прячет все следы работы взломщика от имени пользователя root в системе.
- •Защита файлов журналов в unix
- •Регулярное проведение резервного копирования
- •Использование одноразовых носителей
- •Кодирование
- •Регулярный просмотр файлов журналов
- •Ведение журналов в nt
- •Взгляд со стороны взломщика
- •Защита файлов журналов в nt
- •Защита от изменений информации о файле
- •Дополнительные файлы
- •Защита от размещения дополнительных файлов
- •Сокрытие следов в сети
- •Общая картина
- •Сценарии взлома
- •Сканеры телефонных линий
- •Другие типы взлома
- •Переполнение буфера в bind 8.2
- •Взлом с помощью cookie
- •Области доступа snmp
- •Анализ сетевых пакетов и dsniff
- •Взлом pgp adk
- •Уязвимость паролей cisco ios
- •1. Получить файлы настройки через snmp
- •Вклинивание в процесс передачи ключа
- •Взлом с нттр-туннелированием
Ведение журналов в nt
Система ведения журналов в NT базируется на программе NT Event Logger. Данная программа работает с тремя типами журналов: системным, журналом безопасности, журналом приложений. Эти три журнала хранятся в разных файлах, однако просматриваются с помощью одной программы. В процессе ведения журналов NT создает два набор файлов. Набор .log-файлов выполняет роль накопительного буфера и содержит информацию о последних событиях. Эти файлы периодически переносятся в файлы .evt, которые просматриваются с помощью программы просмотра журналов. Таким образом, для хранения журналов в NT используются приведенные ниже файлы:
-
system.log
-
securj.ty.log
-
applicatj-on.log
-
sysevent.evt
-
secevent,evt
-
appevent.evt
Чтобы показать, как работает этот процесс, давайте воспользуемся программой Event Viewer, которая находится в разделе утилит администратора.
Система позволяет удалить .log-файлы, однако не дает удалять файлы .evt.
Важно обратить внимание на то, что программа Event Viewer не очень эффективно об рабатывает большое количество .log-файлов. В таких случаях можно воспользоваться программой dumpel.exe, которая позволяет создать ASCII-копию файла журнала программы Event Viewer. После этого журналы можно обрабатывать с помощью сценариев языка Perl или импортировать в базы данных для дальнейшего анализа.
Взгляд со стороны взломщика
При работе с NT существует гораздо меньше методов заметания следов. Совсем недавно появились программы, которые позволяют редактирование файлов журналов во время работы системы. Одной из таких программ является Clear Event Log 1.0. Эта программа позволяет очищать системный журнал, а также журналы безопасности и приложений. Данная программа может очищать один журнал или все журналы, в зависимости от параметров командной строки. Эта программа позволяет только полную очистку журнала. В результате будет удален системный журнал, журнал приложений, журнал безопасности или все журналы. Эту программу можно получить по адресу: http://duke.net/eventlog. Однако данная программа не позволяет удалять отдельные записи из журналов, она может уничтожать только все записи. Для выборочного удаления записей можно воспользоваться программой WinZapper.
Программа WinZapper позволяет взломщику выборочно удалять записи из журнала безопасности Windows NT 4.0 или Windows 2000. Эту программу можно найти по ; http://ntsecurity.nu/toolbox/winzapper/. Для ее установки нужно получить .zip файл и разархивировать его. Затем нужно запустить winzapper. ехе и выбрать события, которые должны быть удалены. Для подтверждения нужно нажать на кнопке Delete events and Exit. После этого необходимо перезагрузить компьютер, чтобы включилась система ведения
Даже не пользуясь такими программами, взломщик может предпринять некоторые действия для сокрытия следов его присутствия в системе. Во-первых, при наличии администраторского доступа можно просто отключить ведение журнала. Для этого можно воспользоваться утилитой User manager for domains или утилитой командной строки. Взломщик может также вызвать Event Viewer и удалить события. Однако все события, которые были удалены из .log-файла, переправляются в файл аудита. Таким образом, если кто-то наблюдает за системой, он может словить взломщика за руку. Как видите, такие действия очень ненадежны.
Как уже понял читатель, взломщик не может удалить файлы .evt во время работы системы, однако при наличии физического доступа он может кое-что сделать. Первое, что нужно сделать после получения физического доступа, — скопировать файлы событий, поскольку на этом этапе они содержат минимум информации о присутствии взломщика. После этого он должен провести взлом. Затем на компьютере нужно запустить Linux или другую операционную систему. Поскольку на этом этапе запущена другая операционная система, можно удалить файлы журнала и заменить их заранее приготовленной копией, которая содержит минимум информации о взломе. Затем нужно повторно перезагрузить систему, однако это вряд ли затруднит опытного взломщика. Программу создания загрузочного диска Linux можно скачать по адресу: http://home.eunet.no/~pnordahl/ ntpasswd/bootdisk.html.