Конечно, в большинстве систем атакующий с достаточными привилегиями доступа (обычно root или Administrator) может полностью очистить файлы регистрации. Однако их полное удаление будет замечено с большой вероятностью. В идеале атакующий хочет отредактировать системные файлы регистрации построчно, чтобы сохранить в них нормальные события и удалить подозрительные. Приемы, используемые для модификации системных файлов регистрации, сильно зависят от типа системы. Мы проанализируем атаки против механизмов регистрации в Windows NT/2000 и UNIX.
Атака на файлы регистрации событий в Windows NT/2000
Информация об успешной или неуспешной регистрации пользователей в системе, о попытках нарушения доступа, сбоях программ сохраняется в журнале регистрации событий Windows. Как следствие, атакующие стараются модифицировать журнал с целью сокрытия своего пребывания в системе.
