Bật (tắt) audit record bằng auditpol (for Server 2k)
Một trong các bước quan trọng của hacker khi đã thâm nhập được vào Server là tìm cách xóa dấu tích của mình trong Audit Record.(audit là chức năng lưu lại tòan bộ hành động thâm nhập và thay đổi của hacker vào server , cho dù bạn có thâm nhập thành công hay không). Có nhiều cách để xóa log này. Tôi sẽ chỉ cho các bạn 1 cách rất đơn giản và hiệu quả là dùng tool auditpol. Auditpol không xóa file log ( trong nhiều trường hợp xóa file log không phả là giải pháp tốt để xâm nhập lâu dài ), mà nó chỉ disable chức năng audit. Bạn cũng có thể enable chức năng này sau khi rút lui ( logoff ). Cách dùng auditpol rất dễ. Trước tiên bạn thử kiểm tra xem máy victim có bật chế độ audit không (auditpol chạy trong môi trường DOS):
Các file đính kèm theo tài liệu này:
- Bật ( tắt ) audit record bằng auditpol (for Server 2k).doc