Информационная безопасность. Макаренко С.И. - 310 стр.

UptoLike

ВУЗ: 

МГГУ им. Шолохова | Москва

Составители: 

Рубрика: 

310
20.4.2.4 Отсутствие файлов журналов или пробелы в них
В работающей системе Windows 2000 с включенным аудитом файлы
журналов никогда не бывают пусты. Многие злоумышленники очищают
файлы журналов сразу после входа в систему в надежде скрыть факт своего
присутствия. Если вы обнаружили пустой файл журнала, это говорит о том,
что с системой что-то не в порядке, и следует немедленно начать выяснение
причин отсутствия в журналах данных. Может оказаться, что другой
администратор указал опцию очистки файлов журналов, так как они имели
очень большой размер. Однако может выясниться, что в систему кто-то
проник несанкционированно.
Не так давно начали выходить в свет утилиты, помогающие
злоумышленникам изменять отдельные записи в файлах журналов. В
результате этого действия в файле журнала может оказаться пробел. Чтобы
обнаружить пробел, просмотрите содержимое файла и выясните,
присутствуют ли в нем пропуски, большие, чем обычные. Если обнаружатся
значительные пробелы в содержимом файла, следует выяснить причину их
появления. Имейте в виду, что система не создает записи в журнале, когда
она отключена. В данном случае в содержимом файла перед и после каждого
пробела будут присутствовать записи отключения и запуска системы.
20.4.3 Неизвестные процессы
В системах Windows 2000 выполняется множество процессов.
Некоторые из них обнаружить легко, другие - сложнее. Если посмотреть в
окно программы Task Manager (Диспетчер задач) - см. рис. 20.15, то можно
увидеть процессы, выполняющиеся в данный момент в системе, а также
процент использования процессора и объем используемой процессами
памяти.
Рис. 20.15 - Диспетчер задач Windows 2000 
        20.4.2.4 Отсутствие файлов журналов или пробелы в них

      В работающей системе Windows 2000 с включенным аудитом файлы
журналов никогда не бывают пусты. Многие злоумышленники очищают
файлы журналов сразу после входа в систему в надежде скрыть факт своего
присутствия. Если вы обнаружили пустой файл журнала, это говорит о том,
что с системой что-то не в порядке, и следует немедленно начать выяснение
причин отсутствия в журналах данных. Может оказаться, что другой
администратор указал опцию очистки файлов журналов, так как они имели
очень большой размер. Однако может выясниться, что в систему кто-то
проник несанкционированно.
      Не так давно начали выходить в свет утилиты, помогающие
злоумышленникам изменять отдельные записи в файлах журналов. В
результате этого действия в файле журнала может оказаться пробел. Чтобы
обнаружить пробел, просмотрите содержимое файла и выясните,
присутствуют ли в нем пропуски, большие, чем обычные. Если обнаружатся
значительные пробелы в содержимом файла, следует выяснить причину их
появления. Имейте в виду, что система не создает записи в журнале, когда
она отключена. В данном случае в содержимом файла перед и после каждого
пробела будут присутствовать записи отключения и запуска системы.

                      20.4.3 Неизвестные процессы

     В системах Windows 2000 выполняется множество процессов.
Некоторые из них обнаружить легко, другие - сложнее. Если посмотреть в
окно программы Task Manager (Диспетчер задач) - см. рис. 20.15, то можно
увидеть процессы, выполняющиеся в данный момент в системе, а также
процент использования процессора и объем используемой процессами
памяти.




                Рис. 20.15 - Диспетчер задач Windows 2000



                                   310

Страницы