Как же атакующие, получившие доступ к системе, скрывают свои следы, избегая обнаружения? Один из главных приемов маскировки в системе и сокрытия следов состоит в использовании RootKit или программы черного хода (см. главу 10). После установки RootKit и черных ходов для сокрытия изменений, сделанных в системе, атакующие изменяют файлы регистрации, создают скрытые файлы и организуют тайные каналы.
Сокрытие доказательств изменения файлов регистрации событий
Чтобы избежать обнаружения системным и сетевым администраторами, а также сотрудником службы компьютерной безопасности, атакующий изменит файлы регистрации на машине жертвы, удалив оттуда определенные события, связанные с получением доступа атакующим, повышением привилегий, установкой RootKit и черных ходов. События типа неудавшихся входов в систему, ошибочных состояний, остановленных и перезапущенных серверов, время доступа к файлу и его модификации должны быть вычищены из файлов регистрации или изменены, чтобы избежать подозрения со стороны администратора.
