Войти
Winzapper - это бесплатная утилита / хакерский инструмент, используемый для удаления событий из Microsoft Windows NT 4.0 и Windows 2000 Журнал безопасности. Он был разработан Арне Видстромом как инструмент для проверки концепции, демонстрирующий, что после взлома учетной записи администратора журналы событий перестают быть надежными. Согласно Hacking Exposed: Windows Server 2003, Winzapper работает с Windows NT / 2000/2003.
До создания Winzapper администраторы уже имели возможность очищать журнал безопасности с помощью Event Viewer или с помощью сторонних инструментов, таких как. Однако в Windows отсутствовал какой-либо встроенный метод выборочного удаления событий из журнала безопасности. Неожиданная очистка журнала, скорее всего, станет для системных администраторов красным сигналом о том, что вторжение произошло. Winzapper позволит хакеру скрыть вторжение, удалив только те события журнала, которые имеют отношение к атаке. В публично выпущенном Winzapper отсутствовала возможность удаленного запуска без использования таких инструментов, как Terminal Services. Однако, по словам Арне Видстрома, его можно легко модифицировать для удаленной работы.
Существует также несвязанный троянский конь с тем же именем.
Winzapper создает резервную копию журнала безопасности «dummy.dat» в% systemroot% \ system32 \ config. Этот файл может быть восстановлен после атаки для восстановления исходного журнала. Однако, возможно, опытный пользователь скопирует достаточно большой файл поверх файла dummy.dat и, таким образом, безвозвратно перезапишет его. Winzapper приводит к невозможности использования средства просмотра событий до перезагрузки, поэтому неожиданная перезагрузка может указывать на то, что Winzapper недавно использовался. Еще одним потенциальным ключом к попытке использования Winzapper может быть повреждение журнала безопасности (требующее его очистки), поскольку всегда существует небольшой риск того, что Winzapper сделает это.
Согласно WindowsNetworking.com, «Один из способов предотвратить использование этого инструмента злоумышленниками на ваших серверах - это реализовать политику ограниченного использования программ с использованием групповой политики, которая предотвращает запуск исполняемого файла WinZapper».
