Очищення журналу реєстрації подій

Якщо діяльність, пов'язана з отриманням статусу адміністратора, залишила красномовні сліди в журналі реєстрації подій системи NT, за допомогою додатку проглядання подій зломщик може просто стерти всі записи журналу. Для цього зловмисникові досить запустити додаток Event Viewer на своєму комп'ютері і підключитися до вузла, до якого він дістав доступ. Після виконання аутентифікації зломщик може відкривати, читати і очищати журнали реєстрації подій видаленого вузла. При видаленні знищуються всі записи, окрім однієї, яка повідомляє про те, що журнал реєстрації був очищений стороннім. Звичайно, навіть таке повідомлення цілком достатньо, щоб забити на сполох, але, на жаль, у розпорядженні зловмисника є і інші способи. Наприклад, він може знайти файли журналів в каталозі \winnt\system32 і відредагувати їх уручну, хоча це не так-то просто, враховуючи складність синтаксису журналів NT.
Одним із засобів, що значно спрощують це завдання, є утиліта Джеспера Лоріцена (Jesper Lauritsen). Наприклад, наступна команда забезпечить очищення журналу безпеки на видаленому сервері joel (мається на увазі, що необхідний рівень привілеїв є). C:\>elsave -s \\joel -1 "Security" -с